Vulnerabilidad en Parso (CVE-2019-12760)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

06/06/2019

Última modificación:

05/08/2024

Descripción

** EN DISPUTA ** Existe una vulnerabilidad de deserialización en la forma en que el parso a través de 0,4,0 maneja el análisis de la gramática desde el caché. La carga de caché se basa en pickle y, siempre que se pueda escribir un pickle malicioso en un archivo de gramática de caché y que se pueda desencadenar su análisis, este defecto lleva a la Ejecución de Código Arbitrario. NOTA: Esta identificación es cuestionada porque "el directorio caché no está bajo el control del atacante en ninguna configuración común ".

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.30 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.30

Gravedad 3.x

BAJA

Vector 2.0

AV:N/AC:M/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: AV:N/AC:M/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico