PT-2022-26687 · Pypi+2 · Pytest+3

Woodruffw

·

Publicado

2022-10-16

·

Atualizado

2025-11-13

·

CVE-2022-42969

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do py até a 1.11.0
Descrição
A biblioteca py permite que invasores remotos realizem um ataque ReDoS (Negação de Serviço por Expressão Regular) por meio de um repositório Subversion com dados info manipulados, devido a um tratamento incorreto do argumento InfoSvnCommand. Este problema está relacionado à expressão regular em py. path.svnurl.InfoSvnCommand.lspattern e é relevante apenas ao lidar com projetos Subversion (svn). Observe que este problema foi contestado por vários terceiros como não sendo reproduzível, e eles argumentam que não se trata de uma vulnerabilidade válida.
Recomendações
Para versões do py até a 1.11.0, considere atualizar para uma versão de um pacote dependente, como o pytest, que remova sua dependência da versão vulnerável do py; por exemplo, atualize para a versão 7.2.0 do pytest.
No momento, não há informações sobre uma versão mais recente do py que contenha uma correção para este problema.

Exploit

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333

Identificadores relacionados

CVE-2022-42969
GHSA-W596-4WVX-J9J6
MGASA-2025-0289
OPENSUSE-SU-2023_0161-1
OPENSUSE-SU-2024:13211-1
PYSEC-2022-42969
PYSEC-2022-43183
SUSE-SU-2023:0161-1
SUSE-SU-2023:0395-1
SUSE-SU-2023:0681-1
SUSE-SU-2023_0161-1
SUSE-SU-2023_0395-1
SUSE-SU-2023_0681-1

Produtos afetados

Debian
Suse
Py
Pytest