V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
Red HatДистрибутивredhat

Python-galaxy-importer

Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.07605

Распределение по критичности

Критический
0
Высокий
3
Средний
5
Низкий
0
Также сопоставлено как (исходные строки): python-galaxy-importer

Топ уязвимостей

CVE-2021-46877jackson-databind версий 2.10.x - 2.12.x до 2.12.6 и 2.13.x до 2.13.1 позволяет злоумышленникам вызывать отказ в обслуживании (временное использование кучи объемом 2 ГБ на чтение) в необычных ситуациях, связанных с сериализацией JsonNode JDK.
CVE-2021-27291В pygments 1.1+, исправленном в 2.7.4, лексеры, используемые для анализа языков программирования, в значительной степени зависят от регулярных выражений. Некоторые из регулярных выражений имеют экспоненциальную или кубическую сложность в худшем случае и уязвимы к ReDoS. Создав вредоносный ввод, злоумышленник может вызвать отказ в обслуживании.
CVE-2021-20270Бесконечный цикл в SMLLexer в Pygments версий с 1.5 по 2.7.3 может привести к отказу в обслуживании при выполнении подсветки синтаксиса исходного файла Standard ML (SML), как продемонстрировано на примере ввода, содержащего только ключевое слово "exception".
CVE-2023-5189В Ansible существует уязвимость обхода пути при извлечении архивов tar. Злоумышленник может создать вредоносный архив tar, чтобы при использовании galaxy importer Ansible Automation Hub на диск могла быть сброшена символическая ссылка, что приведет к перезаписи файлов.
CVE-2021-23980Мутационный XSS влияет на пользователей, вызывающих bleach.clean со всеми: svg или math в разрешенных тегах, p или br в разрешенных тегах, style, title, noscript, script, textarea, noframes, iframe или xmp в разрешенных тегах, аргумент ключевого слова strip_comments=False Примечание: ни один из вышеперечисленных тегов не входит в разрешенные теги по умолчанию, и strip_comments по умолчанию имеет значение True.
CVE-2020-7789Это влияет на пакет node-notifier до версии 9.0.0. Это позволяет злоумышленнику выполнять произвольные команды на машинах Linux из-за того, что параметры options не обрабатываются при передаче массива.
CVE-2020-15366Проблема обнаружена в ajv.validate() в Ajv (aka Another JSON Schema Validator) 6.12.2. Можно предоставить тщательно разработанную JSON-схему, которая позволяет выполнять другой код путем загрязнения прототипа. (Хотя не рекомендуется использовать ненадежные схемы, наихудшим случаем ненадежной схемы должен быть отказ в обслуживании, а не выполнение кода.)
CVE-2021-3281В Django 2.2 до 2.2.18, 3.0 до 3.0.12 и 3.1 до 3.1.6 метод django.utils.archive.extract (используемый "startapp --template" и "startproject --template") допускает обход каталогов через архив с абсолютными путями или относительными путями с точечными сегментами.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →