Опубликовано: 10 дек. 2024
Источник: github
Github: Прошло ревью
CVSS4: 7.7
CVSS3: 8.6
Описание
luigi Arbitrary File Write via Archive Extraction (Zip Slip)
Versions of the package luigi before 3.6.0 are vulnerable to Arbitrary File Write via Archive Extraction (Zip Slip) due to improper destination file path validation in the _extract_packages_archive function.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2024-21542
- https://github.com/spotify/luigi/issues/3301
- https://github.com/spotify/luigi/commit/b5d1b965ead7d9f777a3216369b5baf23ec08999
- https://github.com/pypa/advisory-database/tree/main/vulns/luigi/PYSEC-2024-159.yaml
- https://github.com/spotify/luigi/releases/tag/v3.6.0
- https://security.snyk.io/vuln/SNYK-PYTHON-LUIGI-7830489
Пакеты
Наименование
luigi
pip
Затронутые версииВерсия исправления
< 3.6.0
3.6.0
Связанные уязвимости
CVSS3: 8.6
nvd
около 1 года назад
Versions of the package luigi before 3.6.0 are vulnerable to Arbitrary File Write via Archive Extraction (Zip Slip) due to improper destination file path validation in the _extract_packages_archive function.
CVSS3: 8.6
fstec
больше 1 года назад
Уязвимость компонента Archive Extraction Handler библиотеки Luigi языка программирования Python, позволяющая нарушителю выполнить произвольный код