Vulnerabilidad en Python (CVE-2018-20852)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
13/07/2019
Última modificación:
07/11/2023
Descripción
http.cookiejar.DefaultPolicy.domain_return_ok en Lib / http / cookiejar.py en Python en versiones anteriores a la 3.7.3 no valida correctamente el dominio: se puede engañar para que envíe las cookies existentes al servidor incorrecto. Un atacante puede abusar de este fallo al usar un servidor con un nombre de host que tiene otro nombre de host válido como sufijo (por ejemplo, pythonicexample.com para robar cookies para example.com). Cuando un programa utiliza http.cookiejar.DefaultPolicy e intenta hacer una conexión HTTP a un servidor controlado por un atacante, las cookies existentes pueden ser filtradas al atacante. Esto afecta a la versión 2.x hasta la versión 2.7.16, versión 3.x en versiones anteriores a la 3.4.10, versión 3.5.x en versiones anteriores a la 3.5.7, versión 3.6.x en versiones anteriores a la 3.6.9 y versión 3.7.x en versiones anteriores a la 3.7.3.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | 2.7.16 (incluyendo) |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.4.10 (excluyendo) |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.5.0 (incluyendo) | 3.5.7 (excluyendo) |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.9 (excluyendo) |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.7.0 (incluyendo) | 3.7.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00071.html
- http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00074.html
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
- https://access.redhat.com/errata/RHSA-2019:3725
- https://access.redhat.com/errata/RHSA-2019:3948
- https://bugs.python.org/issue35121
- https://lists.debian.org/debian-lts-announce/2019/08/msg00022.html
- https://lists.debian.org/debian-lts-announce/2019/08/msg00040.html
- https://lists.debian.org/debian-lts-announce/2020/07/msg00011.html
- https://lists.debian.org/debian-lts-announce/2020/08/msg00034.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/COATURTCY7G67AYI6UDV5B2JZTBCKIDX/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/K7HNVIFMETMFWWWUNTB72KYJYXCZOS5V/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZBTGPBUABGXZ7WH7677OEM3NSP6ZEA76/
- https://python-security.readthedocs.io/vuln/cookie-domain-check.html
- https://security.gentoo.org/glsa/202003-26
- https://usn.ubuntu.com/4127-1/
- https://usn.ubuntu.com/4127-2/
- https://www.oracle.com/security-alerts/cpuapr2020.html