PT-2020-19717 · Sebastian Ramirez · Uvicorn
Everardo Padilla Saca
·
Publicado
2020-07-27
·
Atualizado
2021-07-21
·
CVE-2020-7694
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
uvicorn (versões afetadas não especificadas)
Descrição
O registrador de solicitações do uvicorn é suscetível à injeção de sequências de escape ANSI. Quando o pacote registra detalhes de solicitações HTTP no console ou em um arquivo de log, ele pode processar URLs maliciosas com sequências de escape codificadas por porcentagem, convertendo-as em seus equivalentes de um único caractere. Isso pode ter um significado especial em emuladores de terminal, permitindo que invasores corrompam os registros de acesso e, potencialmente, interajam com o emulador de terminal que exibe os registros. Os invasores podem explorar essa vulnerabilidade solicitando URLs com caminhos manipulados.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Code Injection
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Uvicorn