PT-2022-7024 · Python+10 · Python+10

Publicado

2019-05-07

Atualizado

2026-02-21

CVE-2022-48565

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões do Python anteriores à 3.9.1

Versão 3.8.7 do Python e anteriores

Descrição

A vulnerabilidade está relacionada a um problema de Entidade Externa XML (XXE) no módulo plistlib do interpretador da linguagem de programação Python. Isso se deve a uma restrição incorreta dos links XML para objetos externos. A exploração do problema pode permitir que um invasor remoto realize ataques XXE. O módulo plistlib não aceita mais declarações de entidade em arquivos XML plist para evitar vulnerabilidades XML.

Recomendações

Para versões do Python anteriores à 3.9.1, atualize para a versão 3.9.1 ou posterior para resolver o problema.

Para a linhagem da versão 3.8 do Python, atualize para a versão 3.8.7 ou posterior para resolver o problema.

Como solução alternativa temporária, considere desativar o uso de declarações de entidade em arquivos XML plist para o módulo plistlib até que um patch esteja disponível.

Restrinja o acesso ao módulo plistlib para minimizar o risco de exploração.

Exploit

Correção

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-611

Identificadores relacionados

ALSA-2019_0981

ALSA-2019_3335

ALSA-2020_1605

ALSA-2020_4641

ALSA-2020_4654

ALSA-2021_1761

ALSA-2021_1879

ALSA-2021_4151

ALSA-2021_4160

ALSA-2021_4162

ALSA-2021_4399

ALSA-2022_1642

ALSA-2022_1764

ALSA-2022_1821

ALSA-2022_1986

ALSA-2022_2201

ALSA-2022_6457

ALSA-2022_7323

ALSA-2022_7581

ALSA-2022_7592

ALSA-2022_7593

ALSA-2022_7813

ALSA-2022_8353

ALSA-2022_8420

ALSA-2022_8492

ALSA-2022_8493

ALSA-2023_0833

ALSA-2023_0835

ALSA-2023_0952

ALSA-2023_0953

ALSA-2023_2763

ALSA-2023_2764

ALSA-2023_2860

ALSA-2023_3585

ALSA-2023_3591

ALSA-2023_3594

ALSA-2023_3595

ALSA-2023_3780

ALSA-2023_3781

ALSA-2023_3811

ALSA-2023_5456

ALSA-2023_5462

ALSA-2023_5463

ALSA-2023_5994

ALSA-2023_5997

ALSA-2023_5998

ALSA-2023_6494

ALSA-2023_7024

ALSA-2023_7753

ALSA-2024:2987

ALSA-2024_0114

ALSA-2024_0116

ALSA-2024_0133

ALSA-2024_0256

ALSA-2024_0464

ALSA-2024_0466

ALSA-2024_1530

ALSA-2024_2132

ALSA-2024_2159

ALSA-2024_2292

ALSA-2024_2348

ALSA-2024_2985

ALSA-2024_2986

ALSA-2024_2987

ALSA-2024_3062

ALSA-2024_3347

ALSA-2024_3466

ALSA-2024_4058

ALSA-2024_4077

ALSA-2024_4078

ALSA-2024_4243

ALSA-2024_6754

ALSA-2024_6989

ALSA-2024_8922

ALSA-2024_9190

ALSA-2024_9192

ALSA-2025_0733

ALSA-2025_0925

ALSA-2025_16880

ALSA-2025_21776

ALSA-2025_21974

ALSA-2025_22175

ALSA-2025_23342

ALSA-2025_23530

ALSA-2025_3531

ALSA-2025_3913

ALSA-2025_7444

ALT-PU-2024-3474

BDU:2023-06655

BIT-LIBPYTHON-2022-48565

BIT-PYTHON-2022-48565

BIT-PYTHON-MIN-2022-48565

CESA-2024_2987

CVE-2022-48565

DLA-3575-1

DLA-3614-1

ELSA-2024-2987

GHSA-CRHM-WC96-7579

INFSA-2024_2987

MGASA-2024-0084

OESA-2023-1597

OESA-2023-1598

OPENSUSE-SU-2023_4220-1

OPENSUSE-SU-2024:13253-1

PSF-2023-5

RHSA-2024:2987

RHSA-2024_2987

RLSA-2024_2987

ROSA-SA-2025-2646

SUSE-SU-2023:4001-1

SUSE-SU-2023:4220-1

SUSE-SU-2023_4001-1

USN-6354-1

USN-6891-1

USN-7180-1

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Linuxmint

Python

Red Hat

Red Os

Rocky Linux

Suse

Ubuntu

PT-2022-7024 · Python+10 · Python+10

CVE-2022-48565

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 123