PT-2024-6043 · Python+12 · Cpython+12

Seth Larson

Publicado

2024-08-22

Atualizado

2025-11-07

CVE-2024-8088

CVSS v4.0

8.7

Alta

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:N/R:U/V:X/RE:L/U:X

Nome do software vulnerável e versões afetadas

CPython (versões afetadas não especificadas)

Descrição

Existe uma vulnerabilidade de gravidade ALTA que afeta o módulo “zipfile” do CPython, especificamente a classe “zipfile.Path”, a qual pode causar um loop infinito ao iterar sobre os nomes das entradas em um arquivo zip criado de forma maliciosa. Isso pode ocorrer ao usar métodos como namelist(), iterdir(), etc. A vulnerabilidade se aplica tanto à leitura apenas de metadados quanto à extração do conteúdo do arquivo zip. Programas que não lidam com arquivos zip controlados pelo usuário não são afetados.

Recomendações

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

DoS

Infinite Loop

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-835

Identificadores relacionados

ALSA-2024:5962

ALSA-2024:6961

ALSA-2024:6962

ALSA-2024:9190

ALSA-2024:9192

ALSA-2024:9371

ALT-PU-2024-12993

ALT-PU-2024-14497

AZL-48114

AZL-48125

AZL-48141

BDU:2024-06863

BIT-LIBPYTHON-2024-8088

BIT-PYTHON-2024-8088

BIT-PYTHON-MIN-2024-8088

CESA-2024_5962

CESA-2024_6961

CESA-2024_6962

CVE-2024-8088

DLA-3980-1

DSA-5759-1

INFSA-2024_5962

INFSA-2024_6961

INFSA-2024_6962

INFSA-2024_9190

INFSA-2024_9192

INFSA-2024_9371

MGASA-2024-0317

OESA-2024-2116

OESA-2024-2117

OESA-2024-2118

OESA-2024-2119

OPENSUSE-SU-2024:14296-1

OPENSUSE-SU-2024:14297-1

OPENSUSE-SU-2024:14298-1

OPENSUSE-SU-2024:14299-1

OPENSUSE-SU-2024:14300-1

OPENSUSE-SU-2024:14301-1

OPENSUSE-SU-2024:14434-1

OPENSUSE-SU-2024_3303-1

OPENSUSE-SU-2024_3357-1

OPENSUSE-SU-2024_3411-1

OPENSUSE-SU-2024_3418-1

OPENSUSE-SU-2024_3427-1

OPENSUSE-SU-2025:15713-1

PSF-2024-10

RHSA-2024:5962

RHSA-2024:6163

RHSA-2024:6961

RHSA-2024:6962

RHSA-2024:9190

RHSA-2024:9192

RHSA-2024:9371

RHSA-2024_5962

RHSA-2024_6163

RHSA-2024_6961

RHSA-2024_6962

RHSA-2024_9190

RHSA-2024_9192

RHSA-2024_9371

RLSA-2024:6961

RLSA-2024:6962

RLSA-2024:9190

RLSA-2024:9192

SUSE-SU-2024:3303-1

SUSE-SU-2024:3357-1

SUSE-SU-2024:3411-1

SUSE-SU-2024:3418-1

SUSE-SU-2024:3427-1

SUSE-SU-2024:4020-1

SUSE-SU-2024:4021-1

SUSE-SU-2024:4029-1

SUSE-SU-2025:20065-1

SUSE-SU-2025:20154-1

SUSE-SU-2025:20374-1

USN-7015-1

USN-7015-6

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Cpython

Centos

Debian

Ibm Aix

Linuxmint

Red Hat

Red Os

Rocky Linux

Suse

Ubuntu

PT-2024-6043 · Python+12 · Cpython+12

CVE-2024-8088

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 255