PT-2024-26670 · Scrapy+4 · Scrapy+4
Publicado
2024-02-16
·
Atualizado
2025-05-05
·
CVE-2024-3572
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
scrapy/scrapy (versões afetadas não especificadas)
Descrição
O projeto scrapy/scrapy está vulnerável a ataques de Entidade Externa XML (XXE) devido ao uso de lxml.etree.fromstring para analisar dados XML não confiáveis sem a devida validação. Essa vulnerabilidade permite que invasores realizem ataques de negação de serviço, acessem arquivos locais, criem conexões de rede ou contornem firewalls enviando dados XML especialmente criados. Além disso, o Scrapy está vulnerável a bombas de descompressão, que podem esgotar a memória disponível para o processo do Scrapy.
Recomendações
Atualize para o Scrapy 2.11.1.
Se você estiver usando o Scrapy 1.8 ou uma versão anterior, e a atualização para o Scrapy 2.11.1 não for uma opção, você pode atualizar para o Scrapy 1.8.4.
Como solução temporária, considere fazer o backport manual da correção da versão 2.11.1 ou 1.8.4, substituindo os componentes correspondentes de uma versão não corrigida do Scrapy por versões corrigidas copiadas para o seu próprio código.
Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Linuxmint
Ubuntu
Lxml
Scrapy