Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-27043

Опубликовано: 19 апр. 2023
Источник: nvd
CVSS3: 5.3
EPSS Низкий

Уязвимость обхода механизма защиты в модуле "email" в Python через некорректный разбор e-mail адресов со специальными символами

Описание

Модуль email в Python до релиза 3.11.3 некорректно разбирает e-mail адреса, содержащие специальные символы. Некорректная часть заголовка RFC2822 определяется как значение addr-spec. В некоторых приложениях злоумышленник способен обойти механизм защиты, при котором доступ предоставляется только после подтверждения получения e-mail на определённый домен (например, для регистрации могут использоваться только адреса @company.example.com). Это происходит в файле email/_parseaddr.py в последних версиях Python.

Затронутые версии ПО

  • Python до версии 3.11.3

Тип уязвимости

Обход механизма защиты

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:*
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:*
cpe:2.3:a:netapp:ontap_select_deploy_administration_utility:-:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия до 2.7.18 (включая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.0 (включая) до 3.8.20 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.9.0 (включая) до 3.9.20 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.10.0 (включая) до 3.10.15 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.11.0 (включая) до 3.11.10 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.12.0 (включая) до 3.12.6 (исключая)

EPSS

Процентиль: 31%
0.00115
Низкий

5.3 Medium

CVSS3

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2023-27043

CVSS3: 5.3
ubuntu
около 2 лет назад

The email module of Python through 3.11.3 incorrectly parses e-mail addresses that contain a special character. The wrong portion of an RFC2822 header is identified as the value of the addr-spec. In some applications, an attacker can bypass a protection mechanism in which application access is granted only after verifying receipt of e-mail to a specific domain (e.g., only @company.example.com addresses may be used for signup). This occurs in email/_parseaddr.py in recent versions of Python.

redhat логотип

CVE-2023-27043

CVSS3: 5.3
redhat
около 2 лет назад

The email module of Python through 3.11.3 incorrectly parses e-mail addresses that contain a special character. The wrong portion of an RFC2822 header is identified as the value of the addr-spec. In some applications, an attacker can bypass a protection mechanism in which application access is granted only after verifying receipt of e-mail to a specific domain (e.g., only @company.example.com addresses may be used for signup). This occurs in email/_parseaddr.py in recent versions of Python.

msrc логотип

CVE-2023-27043

CVSS3: 5.3
msrc
5 месяцев назад

Описание отсутствует

debian логотип

CVE-2023-27043

CVSS3: 5.3
debian
около 2 лет назад

The email module of Python through 3.11.3 incorrectly parses e-mail ad ...

suse-cvrf логотип

SUSE-SU-2024:0595-1

suse-cvrf
больше 1 года назад

Security update for python310

EPSS

Процентиль: 31%
0.00115
Низкий

5.3 Medium

CVSS3

Дефекты

CWE-20