Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2014-4650

Опубликовано: 23 июн. 2014
Источник: redhat
CVSS2: 5
EPSS Средний

Уязвимость обработки URL-адресов с закодированными разделителями путей в модуле CGIHTTPServer Python, позволяющая удаленно читать исходный код скриптов или проводить атаки обхода каталогов

Описание

Обнаружена уязвимость в модуле CGIHTTPServer Python, связанная с некорректной обработкой URL-адресов, в которых используется URL-кодирование для разделителей путей. Удалённые злоумышленники могут использовать эту уязвимость для выполнения скриптов за пределами директории cgi-bin или получения доступа к исходному коду скриптов внутри cgi-bin через специально созданную последовательность символов, например, разделитель %2f.

Заявление

Данная проблема затрагивает версии Python, поставляемые с Red Hat Enterprise Linux 5 и 7, а также Red Hat Software Collections. Возможное обновление может устранить данную уязвимость. Для получения дополнительной информации обратитесь к классификации серьёзности проблем.

Red Hat Enterprise Linux 5 находится на этапе Production 3 в цикле поддержки и обслуживания. Проблема оценена как имеющая умеренное влияние на безопасность и в настоящее время не планируется к устранению в будущих обновлениях. Для получения дополнительной информации обратитесь к жизненному циклу Red Hat Enterprise Linux.

Затронутые версии ПО

  • Python 2.7.5
  • Python 3.3.4

Тип уязвимости

  • Обход каталогов (directory traversal)
  • Раскрытие исходного кода

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 5pythonWill not fix
Red Hat Software Collectionspython27-pythonAffected
Red Hat Software Collectionspython33-pythonWill not fix
Red Hat Software Collectionsrh-python34-pythonNot affected
Red Hat Enterprise Linux 6pythonFixedRHSA-2015:133020.07.2015
Red Hat Enterprise Linux 7pythonFixedRHSA-2015:210119.11.2015
Red Hat Software Collections for Red Hat Enterprise Linux 6python27FixedRHSA-2015:106404.06.2015
Red Hat Software Collections for Red Hat Enterprise Linux 6python27-pythonFixedRHSA-2015:106404.06.2015
Red Hat Software Collections for Red Hat Enterprise Linux 6python27-python-pipFixedRHSA-2015:106404.06.2015
Red Hat Software Collections for Red Hat Enterprise Linux 6python27-python-setuptoolsFixedRHSA-2015:106404.06.2015

Показывать по

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-138
https://bugzilla.redhat.com/show_bug.cgi?id=1113527python: CGIHTTPServer module does not properly handle URL-encoded path separators in URLs

EPSS

Процентиль: 94%
0.13624
Средний

5 Medium

CVSS2

Связанные уязвимости

CVSS3: 9.8
ubuntu
больше 5 лет назад

The CGIHTTPServer module in Python 2.7.5 and 3.3.4 does not properly handle URLs in which URL encoding is used for path separators, which allows remote attackers to read script source code or conduct directory traversal attacks and execute unintended code via a crafted character sequence, as demonstrated by a %2f separator.

CVSS3: 9.8
nvd
больше 5 лет назад

The CGIHTTPServer module in Python 2.7.5 and 3.3.4 does not properly handle URLs in which URL encoding is used for path separators, which allows remote attackers to read script source code or conduct directory traversal attacks and execute unintended code via a crafted character sequence, as demonstrated by a %2f separator.

CVSS3: 9.8
debian
больше 5 лет назад

The CGIHTTPServer module in Python 2.7.5 and 3.3.4 does not properly h ...

CVSS3: 9.8
github
около 3 лет назад

The CGIHTTPServer module in Python 2.7.5 and 3.3.4 does not properly handle URLs in which URL encoding is used for path separators, which allows remote attackers to read script source code or conduct directory traversal attacks and execute unintended code via a crafted character sequence, as demonstrated by a %2f separator.

fstec
около 11 лет назад

Уязвимость программного обеспечения Python, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 94%
0.13624
Средний

5 Medium

CVSS2