Опубликовано: 06 мая 2021
Источник: github
Github: Прошло ревью
CVSS4: 9.3
CVSS3: 9.8
Описание
SVGlib Vulnerable to XXE Attacks
The svglib package through 0.9.3 for Python allows XXE attacks via an svg2rlg call.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2020-10799
- https://github.com/deeplook/svglib/issues/229
- https://github.com/deeplook/svglib/commit/35686a130ed260c71a382a8f83d41fd31a46704d
- https://github.com/advisories/GHSA-3vcg-8p79-jpcv
- https://github.com/pypa/advisory-database/tree/main/vulns/svglib/PYSEC-2020-111.yaml
Пакеты
Наименование
svglib
pip
Затронутые версииВерсия исправления
<= 0.9.3
0.9.4
EPSS
Процентиль: 56%
0.00338
Низкий
9.3 Critical
CVSS4
9.8 Critical
CVSS3
CVE ID
Дефекты
CWE-611
Связанные уязвимости
CVSS3: 9.8
nvd
почти 6 лет назад
The svglib package through 0.9.3 for Python allows XXE attacks via an svg2rlg call.
EPSS
Процентиль: 56%
0.00338
Низкий
9.3 Critical
CVSS4
9.8 Critical
CVSS3
CVE ID
Дефекты
CWE-611