Vulnerabilidad en Access Control en Zope (CVE-2023-41050)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
06/09/2023
Última modificación:
13/09/2023
Descripción
AccessControl proporciona un marco de seguridad general para su uso en Zope. La funcionalidad "format" de Python permite que alguien que controle la cadena de formato "lea" objetos accesibles (recursivamente) mediante acceso a atributos y suscripción desde objetos accesibles. Esos accesos a atributos y suscripciones utilizan las variantes `getattr` y `getitem` completas de Python, no las variantes `_getattr_` y `_getitem_` restringidas por políticas de `AccessControl`. Esto puede conducir a la divulgación de información crítica. `AccessControl` ya proporciona una variante segura para `str.format` y niega el acceso a `string.Formatter`. Sin embargo, `str.format_map` todavía no es seguro. Los afectados son todos los usuarios que permiten a usuarios no confiables crear código Python controlado por `AccessControl` y ejecutarlo. Se ha introducido una solución en las versiones 4.4, 5.8 y 6.2. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zope:accesscontrol:*:*:*:*:*:*:*:* | 4.4 (excluyendo) | |
| cpe:2.3:a:zope:accesscontrol:*:*:*:*:*:*:*:* | 5.0 (incluyendo) | 5.8 (excluyendo) |
| cpe:2.3:a:zope:accesscontrol:*:*:*:*:*:*:*:* | 6.0 (incluyendo) | 6.2 (excluyendo) |
| cpe:2.3:a:zope:zope:*:*:*:*:*:*:*:* | 4.8.9 (excluyendo) | |
| cpe:2.3:a:zope:zope:*:*:*:*:*:*:*:* | 5.0 (incluyendo) | 5.8.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página