Vulnerabilidad en Pycares (CVE-2025-48945)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
20/06/2025
Última modificación:
23/06/2025
Descripción
Pycares es un módulo de Python que proporciona una interfaz para c-ares. C-ares es una librería de C que realiza solicitudes DNS y resoluciones de nombres de forma asíncrona. En versiones anteriores a la 4.9.0, Pycares era vulnerable a una condición de use-after-free que se produce cuando un objeto de canal se recolecta como basura mientras las consultas DNS aún están pendientes. Esto provoca un error fatal de Python y un fallo del intérprete. Esta vulnerabilidad se ha corregido en Pycares 4.9.0 mediante la implementación de un mecanismo seguro de destrucción de canales.
Impacto
Puntuación base 4.0
8.20
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/aio-libs/aiodns/commit/f259a6e3650555157af53ac2b39f2ff545321d55
- https://github.com/aio-libs/aiodns/releases/tag/v3.5.0
- https://github.com/saghul/pycares/commit/ebfd7d71eb8e74bc1057a361ea79a5906db510d4
- https://github.com/saghul/pycares/releases/tag/v4.9.0
- https://github.com/saghul/pycares/security/advisories/GHSA-5qpg-rh4j-qp35
- https://github.com/saghul/pycares/security/advisories/GHSA-5qpg-rh4j-qp35