Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09877

Опубликовано: 09 сент. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость реализация логики подписи запросов OAuth для Python OAuthLib связана с недостаточной проверкой входных данных в функциях uri_validate. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.
ООО «Ред Софт»
Red Hat Inc.
Сообщество свободного программного обеспечения

Наименование ПО

openSUSE Tumbleweed
РЕД ОС
Red Hat OpenShift Container Platform
Red Hat Enterprise Linux
Red Hat Ansible Automation Platform
SUSE Liberty Linux
Suse Linux Enterprise Desktop
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Micro
SUSE Linux Enterprise Module for Python 3
OAuthLib

Версия ПО

- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
4 (Red Hat OpenShift Container Platform)
9 (Red Hat Enterprise Linux)
2 (Red Hat Ansible Automation Platform)
1.2 (Red Hat Ansible Automation Platform)
9 (SUSE Liberty Linux)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
6.0 (SUSE Linux Enterprise Micro)
6.1 (SUSE Linux Enterprise Micro)
15 SP6 (SUSE Linux Enterprise Module for Python 3)
от 3.1.1 до 3.2.1 (OAuthLib)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. SUSE Liberty Linux 9
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/oauthlib/oauthlib/commit/2e40b412c844ecc4673c3fa3f72181f228bdbacd
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-oauthlib-cve-2022-36087/?sphrase_id=1154397
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-36087
Для программных продуктов Novell Inc.:
https://www.suse.com/ko-kr/security/cve/CVE-2022-36087.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00337
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-36087

CVSS3: 5.7
ubuntu
почти 3 года назад

OAuthLib is an implementation of the OAuth request-signing logic for Python 3.6+. In OAuthLib versions 3.1.1 until 3.2.1, an attacker providing malicious redirect uri can cause denial of service. An attacker can also leverage usage of `uri_validate` functions depending where it is used. OAuthLib applications using OAuth2.0 provider support or use directly `uri_validate` are affected by this issue. Version 3.2.1 contains a patch. There are no known workarounds.

redhat логотип

CVE-2022-36087

CVSS3: 6.5
redhat
почти 3 года назад

OAuthLib is an implementation of the OAuth request-signing logic for Python 3.6+. In OAuthLib versions 3.1.1 until 3.2.1, an attacker providing malicious redirect uri can cause denial of service. An attacker can also leverage usage of `uri_validate` functions depending where it is used. OAuthLib applications using OAuth2.0 provider support or use directly `uri_validate` are affected by this issue. Version 3.2.1 contains a patch. There are no known workarounds.

nvd логотип

CVE-2022-36087

CVSS3: 5.7
nvd
почти 3 года назад

OAuthLib is an implementation of the OAuth request-signing logic for Python 3.6+. In OAuthLib versions 3.1.1 until 3.2.1, an attacker providing malicious redirect uri can cause denial of service. An attacker can also leverage usage of `uri_validate` functions depending where it is used. OAuthLib applications using OAuth2.0 provider support or use directly `uri_validate` are affected by this issue. Version 3.2.1 contains a patch. There are no known workarounds.

debian логотип

CVE-2022-36087

CVSS3: 5.7
debian
почти 3 года назад

OAuthLib is an implementation of the OAuth request-signing logic for P ...

redos логотип

ROS-20250731-01

CVSS3: 6.5
redos
около 1 месяца назад

Уязвимость python3-oauthlib

EPSS

Процентиль: 56%
0.00337
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2