PT-2020-6971 · Python+7 · Python+7

Robert Wessen

+1

·

Publicado

2020-10-21

·

Atualizado

2025-08-11

·

CVE-2022-48564

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Python anteriores à 3.9.2
Descrição
O problema está relacionado à função read ints no componente plistlib.py do interpretador Python, que é vulnerável ao consumo descontrolado de recursos. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade ocorre ao processar arquivos Apple Property List malformados em formato binário, levando ao esgotamento da CPU e da RAM.
Recomendações
Para versões anteriores à 3.9.2, atualize para a versão 3.9.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função read ints em plistlib.py para minimizar o risco de exploração. Evite processar arquivos Apple Property List não confiáveis ou malformados em formato binário até que o problema seja resolvido.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALSA-2024:0114
ALT-PU-2024-3474
BDU:2024-06944
BIT-LIBPYTHON-2022-48564
BIT-PYTHON-2022-48564
BIT-PYTHON-MIN-2022-48564
CESA-2024_0114
CVE-2022-48564
DLA-3614-1
GHSA-P8VW-M6QQ-W42V
PSF-2023-10
RHSA-2024:0114
RHSA-2024:0430
RHSA-2024:0586
RHSA-2024_0114
USN-6513-1
USN-6891-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Python
Red Hat
Ubuntu