CVE

Vulnerabilidad en cryptography (CVE-2023-49083)

Severidad:
ALTA
Type:
CWE-476 Desreferencia a puntero nulo (NULL)
Fecha de publicación:
29/11/2023
Última modificación:
17/02/2024

Descripción

cryptography es un paquete diseñado para exponer recetas y primitivas criptográficas a los desarrolladores de Python. Llamar a `load_pem_pkcs7_certificates` o `load_der_pkcs7_certificates` podría provocar una desreferencia de puntero NULL y un error de segmentación. La explotación de esta vulnerabilidad plantea un grave riesgo de Denegación de Servicio (DoS) para cualquier aplicación que intente deserializar un blob/certificado PKCS7. Las consecuencias se extienden a posibles interrupciones en la disponibilidad y estabilidad del sistema. Esta vulnerabilidad ha sido parcheada en la versión 41.0.6.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cryptography_project:cryptography:*:*:*:*:*:python:*:* 3.1 (incluyendo) 41.0.6 (excluyendo)


Go top