Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11082

Опубликовано: 04 июл. 2025
Источник: fstec
CVSS3: 4.3
CVSS2: 4
EPSS Низкий

Описание

Уязвимость модуля html.parser.HTMLParser интерпретатора языка программирования Python связана с использованием регулярного выражения с неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Python Software Foundation
АО «СберТех»

Наименование ПО

Ubuntu
Red Hat Enterprise Linux
Debian GNU/Linux
Astra Linux Special Edition
Python
Platform V SberLinux OS Server

Версия ПО

14.04 LTS (Ubuntu)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
3.10 (Python)
24.04 LTS (Ubuntu)
25.04 (Ubuntu)
10 (Red Hat Enterprise Linux)
9.1 (Platform V SberLinux OS Server)
3.11.9 (Python)
3.9.21 (Python)
3.13 (Python)
3.12 (Python)
3.14 (Python)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Canonical Ltd. Ubuntu 24.04 LTS
Canonical Ltd. Ubuntu 25.04
Red Hat Inc. Red Hat Enterprise Linux 10
АО «СберТех» Platform V SberLinux OS Server 9.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/python/cpython/commit/4455cbabf991e202185a25a631af206f60bbc949
https://github.com/python/cpython/commit/6eb6c5dbfb528bd07d77b60fd71fd05d81d45c41
https://github.com/python/cpython/commit/8d1b3dfa09135affbbf27fb8babcf3c11415df49
https://github.com/python/cpython/commit/ab0893fd5c579d9cea30841680e6d35fc478afb5
https://github.com/python/cpython/commit/d851f8e258c7328814943e923a7df81bca15df4b
https://github.com/python/cpython/commit/f3c6f882cddc8dc30320d2e73edf019e201394fc
https://github.com/python/cpython/commit/fdc9d214c01cb4588f540cfa03726bbf2a33fc15
https://github.com/python/cpython/issues/135462
https://github.com/python/cpython/pull/135464
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-6069
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-6069
Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2025-6069
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.
Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00116
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-6069

CVSS3: 4.3
ubuntu
5 месяцев назад

The html.parser.HTMLParser class had worse-case quadratic complexity when processing certain crafted malformed inputs potentially leading to amplified denial-of-service.

redhat логотип

CVE-2025-6069

CVSS3: 4.3
redhat
5 месяцев назад

The html.parser.HTMLParser class had worse-case quadratic complexity when processing certain crafted malformed inputs potentially leading to amplified denial-of-service.

nvd логотип

CVE-2025-6069

CVSS3: 4.3
nvd
5 месяцев назад

The html.parser.HTMLParser class had worse-case quadratic complexity when processing certain crafted malformed inputs potentially leading to amplified denial-of-service.

msrc логотип

CVE-2025-6069

CVSS3: 4.3
msrc
4 месяца назад

HTMLParser quadratic complexity when processing malformed inputs

debian логотип

CVE-2025-6069

CVSS3: 4.3
debian
5 месяцев назад

The html.parser.HTMLParser class had worse-case quadratic complexity w ...

EPSS

Процентиль: 31%
0.00116
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2