Vulnerabilidad en un Documento OpenAPI en openapi-python-client (CVE-2020-15142)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
14/08/2020
Última modificación:
20/08/2020
Descripción
En openapi-python-client versiones anteriores a 0.5.3, los clientes generados con un Documento OpenAPI diseñado maliciosamente pueden generar código Python arbitrario. Una ejecución posterior de este cliente malicioso es una ejecución de código arbitraria.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:openapi-python-client_project:openapi-python-client:*:*:*:*:*:*:*:* | 0.5.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/triaxtec/openapi-python-client/blob/main/CHANGELOG.md#053---2020-08-13
- https://github.com/triaxtec/openapi-python-client/commit/f7a56aae32cba823a77a84a1f10400799b19c19a
- https://github.com/triaxtec/openapi-python-client/security/advisories/GHSA-9x4c-63pf-525f
- https://pypi.org/project/openapi-python-client/