PT-2022-27330 · Py7Zr+2 · Py7Zr+2
0Xless
+1
·
Publicado
2022-12-06
·
Atualizado
2025-05-17
·
CVE-2022-44900
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
py7zr versões 0.20.0 e anteriores
Descrição
Uma falha de traversal de diretório na função
SevenZipFile.extractall() permite que invasores gravem arquivos arbitrários ao extrair um arquivo 7z malicioso.Recomendações
Para as versões 0.20.0 e anteriores do py7zr, considere desativar a função
SevenZipFile.extractall() até que um patch esteja disponível para impedir a gravação de arquivos arbitrários.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Ubuntu
Py7Zr