Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en el paquete "safety" de la línea de comandos para Python (CVE-2020-5252)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/03/2020
Última modificación:
30/03/2020

Descripción

El paquete "safety" de la línea de comandos para Python presenta un posible problema de seguridad. Existen dos características de Python que permiten código malicioso en las rutinas de detección del paquete Safety de la línea de comandos “poison-pill” al disfrazar u ofuscar otros paquetes maliciosos o no seguros. Esta vulnerabilidad es considerada de baja gravedad porque el ataque usa una condición de Python existente, no la herramienta Safety en sí. Esto puede ocurrir si: Usted está ejecutando Safety en un entorno Python en el que no confía. Usted está ejecutando Safety desde el mismo entorno Python donde tiene instaladas sus dependencias. Los paquetes de dependencia están siendo instalados arbitrariamente o sin la verificación apropiada. Los usuarios pueden mitigar este problema haciendo lo siguiente: Realice un análisis estático instalando Docker y ejecutando la imagen Safety Docker: $ docker run --rm -it pyupio/safety check -r requirements.txt. Ejecute Safety contra una lista de dependencias estáticas, como el archivo require.txt, en un entorno Python limpio y separado. Ejecute Safety desde una tubería Continuous Integration. Use PyUp.io, que ejecuta Safety en un entorno controlado y compruebe las dependencias de Python sin necesidad de instalarlas. Utilice Online Requirements Checker de PyUp.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.10 MEDIA
Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
4.10
Gravedad 3.x
MEDIA
Vector 2.0
AV:L/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 1.90 BAJA
Vector: AV:L/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
1.90
Gravedad 2.0
BAJA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:pyup:safety:*:*:*:*:*:*:*:* 1.8.6 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información