Опубликовано: 04 янв. 2019
Источник: github
Github: Прошло ревью
CVSS4: 9.3
CVSS3: 9.8
Описание
Recurly vulnerable to SSRF
The Recurly Client Python Library before 2.0.5, 2.1.16, 2.2.22, 2.3.1, 2.4.5, 2.5.1, 2.6.2 is vulnerable to a Server-Side Request Forgery vulnerability in the Resource.get method that could result in compromise of API keys or other critical resources.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2017-0906
- https://github.com/recurly/recurly-client-python/commit/049c74699ce93cf126feff06d632ea63fba36742
- https://hackerone.com/reports/288635
- https://dev.recurly.com/page/python-updates
- https://github.com/advisories/GHSA-38rv-5jqc-m2cv
- https://github.com/pypa/advisory-database/tree/main/vulns/recurly/PYSEC-2017-68.yaml
Пакеты
Наименование
recurly
pip
Затронутые версииВерсия исправления
>= 2.6.0, < 2.6.2
2.6.2
Наименование
recurly
pip
Затронутые версииВерсия исправления
= 2.5.0
2.5.1
Наименование
recurly
pip
Затронутые версииВерсия исправления
>= 2.4.0, < 2.4.5
2.4.5
Наименование
recurly
pip
Затронутые версииВерсия исправления
= 2.3.0
2.3.1
Наименование
recurly
pip
Затронутые версииВерсия исправления
>= 2.2.0, < 2.2.22
2.2.22
Наименование
recurly
pip
Затронутые версииВерсия исправления
>= 2.1.0, < 2.1.16
2.1.16
Наименование
recurly
pip
Затронутые версииВерсия исправления
< 2.0.5
2.0.5
Связанные уязвимости
CVSS3: 9.8
nvd
около 8 лет назад
The Recurly Client Python Library before 2.0.5, 2.1.16, 2.2.22, 2.3.1, 2.4.5, 2.5.1, 2.6.2 is vulnerable to a Server-Side Request Forgery vulnerability in the "Resource.get" method that could result in compromise of API keys or other critical resources.