Zooba

**Nome do software vulnerável e versões afetadas** Versões do Python 3.6 a 3.6.10 Versões do Python 3.7 a 3.7.8 Versões do Python 3.8 a 3.8.4rc1 Versões do Python 3.9 a 3.9.0b4 **Descrição** O problema está relacionado ao uso de um caminho de pesquisa inválido para carregar o python3.dll após a função Py SetPath ter sido utilizada. Isso pode permitir que um invasor remoto comprometa a integridade e a disponibilidade de informações protegidas. O problema ocorre quando o CPython está incorporado em um aplicativo nativo no Windows, mas não pode ocorrer ao usar o python.exe a partir de uma instalação padrão do Python no Windows. **Recomendações** Para as versões do Python 3.6 a 3.6.10, considere desativar o uso do python3X.dll até que um patch esteja disponível. Para as versões 3.7 a 3.7.8 do Python, restrinja o acesso ao arquivo python3.dll vulnerável para minimizar o risco de exploração. Para as versões 3.8 a 3.8.4rc1 do Python, evite usar a função Py SetPath com um caminho de pesquisa inválido para o carregamento do python3.dll. Para as versões do Python 3.9 a 3.9.0b4, como solução temporária, considere usar uma instalação padrão do Python no Windows em vez de um CPython incorporado em um aplicativo nativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: Python Software Foundation CPython versions 3.2 through 3.6.4 Description: The issue is related to a Buffer Overflow vulnerability in the `os.symlink()` function on Windows, which can result in Arbitrary code execution, likely escalation of privilege. This attack appears to be exploitable via a python script that creates a symlink with an attacker-controlled name or location. Recommendations: For versions 3.2 through 3.6.4, update to version 3.6.5 or 3.7.0 to resolve the issue. As a temporary workaround, consider restricting the use of the `os.symlink()` function until a patch is available.