PT-2024-4421 · Pypi+10 · Pymysql+10

Publicado

2024-05-21

·

Atualizado

2026-06-03

·

CVE-2024-36039

CVSS v2.0

6.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas
PyMySQL versões 1.1.0 e anteriores
Descrição
A vulnerabilidade está relacionada ao componente JSON Handler da biblioteca PyMySQL para Python, que não escapa corretamente as chaves usando o procedimento escape dict. Isso pode permitir que um invasor remoto obtenha acesso não autorizado aos dados, adultere dados ou execute código arbitrário no servidor de banco de dados interno caso seja utilizada uma entrada JSON não confiável. A exploração dessa vulnerabilidade pode levar à injeção de SQL.
Recomendações
Para as versões 1.1.0 e anteriores do PyMySQL, considere desativar o uso de entradas JSON não confiáveis até que um patch esteja disponível. Como solução temporária, restrinja o uso da função escape dict para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALSA-2024:4244
ALSA-2024:4245
ALSA-2024:9193
ALSA-2024:9194
ALT-PU-2024-13321
AZL-43726
AZL-44457
BDU:2024-04920
CESA-2024_4244
CESA-2024_4245
CVE-2024-36039
DLA-3822-1
DSA-5700-1
GHSA-V9HF-5J83-6XPP
INFSA-2024_4244
INFSA-2024_4245
INFSA-2024_9193
INFSA-2024_9194
OESA-2024-1719
OPENSUSE-SU-2024:13993-1
OPENSUSE-SU-2024_1855-1
OPENSUSE-SU-2024_1925-1
RHSA-2024:4244
RHSA-2024:4245
RHSA-2024:9193
RHSA-2024:9194
RHSA-2024_4244
RHSA-2024_4245
RHSA-2024_9193
RHSA-2024_9194
RLSA-2024:9193
RLSA-2024:9194
SUSE-SU-2024:1855-1
SUSE-SU-2024:1925-1
USN-6801-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Pymysql
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu