Описание
Уязвимость компонента Archive Extraction Handler библиотеки Luigi языка программирования Python связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданного zip-архива
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
Luigi
Версия ПО
до 3.6.0 (Luigi)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)
Высокий уровень опасности (базовая оценка CVSS 4.0 составляет 7,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://security.snyk.io/vuln/SNYK-PYTHON-LUIGI-7830489
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 94%
0.13151
Средний
8.6 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 8.6
nvd
около 1 года назад
Versions of the package luigi before 3.6.0 are vulnerable to Arbitrary File Write via Archive Extraction (Zip Slip) due to improper destination file path validation in the _extract_packages_archive function.
CVSS3: 8.6
github
около 1 года назад
luigi Arbitrary File Write via Archive Extraction (Zip Slip)
EPSS
Процентиль: 94%
0.13151
Средний
8.6 High
CVSS3
7.8 High
CVSS2