PT-2021-23681 · Babel+8 · Babel+8

Chris Lyne

·

Publicado

2021-04-28

·

Atualizado

2025-10-15

·

CVE-2021-42771

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Babel anteriores à 2.9.1
Descrição
O problema está relacionado a erros na validação de entradas ao lidar com sequências de traversal de diretório em arquivos .dat de localização dentro do Babel.Locale. Isso pode permitir que um invasor carregue arquivos .dat de localização arbitrários, que contêm objetos Python serializados, por meio de traversal de diretório, levando à execução de código.
Recomendações
Para versões anteriores à 2.9.1, atualize para a versão 2.9.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos arquivos .dat de localização para minimizar o risco de exploração.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALSA-2021:4151
ALSA-2021:4162
ALSA-2021:4201
ALT-PU-2021-2513
ALT-PU-2024-8948
AZL-6325
BDU:2025-02668
CESA-2021_4151
CESA-2021_4162
CESA-2021_4201
CVE-2021-42771
DLA-2790-1
DSA-5018-1
GHSA-H4M5-QPFP-3MPV
INFSA-2021_4201
OPENSUSE-SU-2021:1553-1
OPENSUSE-SU-2021:3945-1
OPENSUSE-SU-2021_1553-1
OPENSUSE-SU-2021_3945-1
OPENSUSE-SU-2024:11602-1
OPENSUSE-SU-2024:14127-1
PYSEC-2021-421
RHSA-2021:3252
RHSA-2021:3254
RHSA-2021:4151
RHSA-2021:4162
RHSA-2021:4201
RHSA-2021_4151
RHSA-2021_4162
RHSA-2021_4201
RLSA-2021:4151
RLSA-2021:4162
RLSA-2021:4201
SUSE-SU-2021:3945-1
SUSE-SU-2021:4161-1
SUSE-SU-2021_3945-1
SUSE-SU-2021_4161-1
SUSE-SU-2022:0028-1
SUSE-SU-2022:0029-1
SUSE-SU-2022:3590-1
SUSE-SU-2022_3590-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Babel
Centos
Red Hat
Red Os
Rocky Linux
Suse