CVE-2020-13388

Опубликовано: 22 мая 2020

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

An exploitable vulnerability exists in the configuration-loading functionality of the jw.util package before 2.3 for Python. When loading a configuration with FromString or FromStream with YAML, one can execute arbitrary Python code, resulting in OS command execution, because safe_load is not used.

Ссылки

https://joel-malwarebenchmark.github.io
Exploit
Third Party Advisory
https://joel-malwarebenchmark.github.io/blog/2020/04/27/cve-2020-13388-jw-util-vulnerability/
Exploit
Third Party Advisory
https://security.netapp.com/advisory/ntap-20200528-0002/
Third Party Advisory
https://joel-malwarebenchmark.github.io
Exploit
Third Party Advisory
https://joel-malwarebenchmark.github.io/blog/2020/04/27/cve-2020-13388-jw-util-vulnerability/
Exploit
Third Party Advisory
https://security.netapp.com/advisory/ntap-20200528-0002/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:python:jw.util:*:*:*:*:*:python:*:*

Версия до 2.3 (исключая)

EPSS

Процентиль: 81%

0.01563

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-78

Связанные уязвимости

GHSA-h72c-w3q3-55qq

CVSS3: 9.8

github

больше 4 лет назад

OS Command Injection in jw.util

BDU:2020-04465

CVSS3: 9.8

fstec

больше 5 лет назад

Уязвимость пакета jw.util, связанная с ошибками при проверке обрабатываемых YAML-файлов при загрузке конфигурации, позволяющая нарушителю выполнить произвольные команды операционной системы

EPSS

Процентиль: 81%

0.01563

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-78