PT-2022-6567 · Python Packaging Authority+10 · Setuptools+10
Jaraco
·
Publicado
2022-11-16
·
Atualizado
2026-06-03
·
CVE-2022-40897
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:L/SI:L/SA:N |
Nome do software vulnerável e versões afetadas
Python Packaging Authority (PyPA) setuptools, versões 65.3.0 a 65.5.0
Descrição
O problema está relacionado à validação insuficiente de entradas ao processar conteúdo HTML, permitindo que invasores remotos causem uma negação de serviço por meio de HTML malicioso em um pacote ou na página PackageIndex personalizada. Isso se deve a uma negação de serviço por expressão regular (ReDoS) no arquivo package index.py. A vulnerabilidade pode ser explorada enviando dados especialmente criados para o aplicativo, resultando em um ataque de negação de serviço.
Recomendações
Para as versões 65.3.0 a 65.5.0, atualize para a versão 65.5.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo
package index para minimizar o risco de exploração. Evite usar a expressão regular vulnerável no arquivo package index.py até que o problema seja resolvido.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Setuptools