PT-2024-6156 · Nltk+2 · Nltk+2

Smartkeyss

Publicado

2024-05-19

Atualizado

2024-11-28

CVE-2024-39705

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões 3.8.1 e anteriores do NLTK

Descrição

A vulnerabilidade está relacionada à função nltk.download() da biblioteca NLTK, que pode levar à execução remota de código quando pacotes não confiáveis contendo código Python em formato pickled são baixados. Isso afeta particularmente os pacotes averaged perceptron tagger e punkt. A exploração desse problema pode permitir que um invasor remoto execute código arbitrário.

Recomendações

Para as versões 3.8.1 e anteriores do NLTK, como solução temporária, considere desativar a funcionalidade integrada de download de pacotes de dados até que um patch esteja disponível. Restrinja o acesso a pacotes não confiáveis para minimizar o risco de exploração. Evite usar a função nltk.download() para pacotes que possam conter código Python pickled até que o problema seja resolvido.

Correção

RCE

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502CWE-300

Identificadores relacionados

ALT-PU-2024-15950

ALT-PU-2024-16034

ALT-PU-2024-16208

BDU:2024-07075

CVE-2024-39705

GHSA-CGVX-9447-VCCH

OPENSUSE-SU-2024:0221-1

OPENSUSE-SU-2024:0222-1

OPENSUSE-SU-2024:14103-1

PYSEC-2024-167

Produtos afetados

Alt Linux

Debian

Nltk

PT-2024-6156 · Nltk+2 · Nltk+2

CVE-2024-39705

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 27