PT-2020-16726 · Python+9 · Python+9

Publicado

2020-10-05

·

Atualizado

2025-10-05

·

CVE-2020-27619

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Python da 3 à 3.9.0
Descrição
O problema decorre dos testes do codec CJK no arquivo Lib/test/multibytecodec support.py do Python, que chamam a função eval() em conteúdo recuperado via HTTP. Isso representa um risco devido à possibilidade de execução de código arbitrário.
Recomendações
Para as versões 3 a 3.9.0 do Python, considere desativar as chamadas à função eval() nos testes do codec CJK em Lib/test/multibytecodec support.py até que um patch esteja disponível. Restrinja o acesso aos testes do codec CJK vulneráveis para minimizar o risco de exploração. Evite usar a função eval() em conteúdo recuperado via HTTP nos testes afetados.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

ALSA-2021:4151
ALSA-2021:4162
ALT-PU-2021-1384
ALT-PU-2021-2420
ALT-PU-2021-2478
ALT-PU-2021-2653
ALT-PU-2024-3474
BIT-LIBPYTHON-2020-27619
BIT-PYTHON-2020-27619
BIT-PYTHON-MIN-2020-27619
CESA-2021_1633
CESA-2021_4151
CESA-2021_4162
CVE-2020-27619
MGASA-2020-0477
MGASA-2021-0327
OPENSUSE-SU-2020:2332-1
OPENSUSE-SU-2020:2333-1
OPENSUSE-SU-2020_2332-1
OPENSUSE-SU-2020_2333-1
OPENSUSE-SU-2024:11284-1
PSF-2020-6
RHSA-2021:1633
RHSA-2021:3252
RHSA-2021:3254
RHSA-2021:4151
RHSA-2021:4162
RHSA-2021_1633
RHSA-2021_4151
RHSA-2021_4162
RLSA-2021:4151
RLSA-2021:4162
SUSE-SU-2020:3865-1
SUSE-SU-2020:3930-1
SUSE-SU-2021:1621-1
USN-4754-1
USN-4754-2
USN-4754-3
USN-6891-1

Produtos afetados

Alt Linux
Almalinux
Centos
Debian
Linuxmint
Python
Red Hat
Rocky Linux
Suse
Ubuntu