Bénédikt Tran

**Nome do Software Vulnerável e Versões Afetadas** Python (versões afetadas não especificadas) **Descrição** A função `unicodedata.normalize()` pode consumir tempo excessivo de CPU ao processar entradas Unicode especialmente criadas. Isso ocorre quando a entrada contém sequências longas de caracteres de combinação com valores alternados de Canonical Combining Class, afetando todas as formas de normalização. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** CPython (versões afetadas não especificadas) **Descrição** A função `ftpcp()` em Lib/ftplib.py não utiliza o endereço real do peer, confiando em vez disso no endereço do host fornecido pelo servidor durante um comando PASV. Isso ocorre porque a `ftpcp()` chama a `parse227()` diretamente e passa o endereço IP e a porta brutos, controláveis por um atacante, para `target.sendport()`, resultando em um Server-Side Request Forgery (SSRF), onde um servidor é enganado para fazer requisições não intencionais a recursos internos ou externos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Expat (affected versions not specified) **Description** The Expat parser, when used with a registered ElementDeclHandler, is susceptible to a C stack overflow when processing an inline document type definition with a deeply nested content model. This occurs during the parsing of XML documents containing complex and deeply nested DTD content models. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.