Vulnerabilidad en PyDrive2 (CVE-2023-49297)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
05/12/2023
Última modificación:
16/12/2023
Descripción
PyDrive2 es una librería contenedora de google-api-python-client que simplifica muchas tareas comunes de la API V2 de Google Drive. La deserilización insegura de YAML dará como resultado la ejecución de código arbitrario. Un archivo YAML creado con fines malintencionados puede provocar la ejecución de código arbitrario si PyDrive2 se ejecuta en el mismo directorio que él o si se carga a través de `LoadSettingsFile`. Este es un ataque de deserilización que afectará a cualquier usuario que inicialice GoogleAuth desde este paquete mientras hay un archivo yaml malicioso presente en el mismo directorio. Esta vulnerabilidad no requiere que el archivo se cargue directamente a través del código, solo está presente. Este problema se solucionó en el commit "c57355dc" que se incluye en la versión "1.16.2". Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:iterative:pydrive2:*:*:*:*:*:*:*:* | 1.16.2 (excluyendo) | |
| cpe:2.3:a:iterative:pydrive2:1.17.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/iterative/PyDrive2/commit/c57355dc2033ad90b7050d681b2c3ba548ff0004
- https://github.com/iterative/PyDrive2/security/advisories/GHSA-v5f6-hjmf-9mc5
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CYR5SJKOFSSXFV3E3D2SLXBUBA5WMJJG/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/K34YWTDKBAYWZPOAKBYDM72WIFL5CAYW/