PT-2024-19825 · Pypi · Pymatgen
Steakenthusiast
·
Publicado
2024-02-21
·
Atualizado
2025-03-08
·
CVE-2024-23346
CVSS v3.1
9.3
Crítica
| Vetor | AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do pymatgen anteriores à 2024.2.20
Descrição
Existe uma falha de segurança crítica no método
JonesFaithfulTransformation.from transformation str() dentro da biblioteca pymatgen. Esse método utiliza eval() de forma insegura para processar entradas, permitindo a execução de código arbitrário ao analisar entradas não confiáveis. A vulnerabilidade pode ser explorada ao analisar um arquivo CIF criado com intenção maliciosa.Recomendações
Para versões do pymatgen anteriores à 2024.2.20, atualize para a versão 2024.2.20 para resolver o problema.
Como solução temporária, considere evitar o uso do método
JonesFaithfulTransformation.from transformation str() até que um patch esteja disponível.Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pymatgen