漏洞标题
N/A
漏洞描述信息
在1.5.4之前的Google App Engine Python SDK中的 sandbox 环境中的 FakeFile 实现未能正确控制文件的打开,这允许本地用户通过在代码参数_ah/admin/interactive/execute中的 AllowED_MODES 和 AllowED_DIRS 更改来绕过预期访问限制并创建任意文件,与 CVE-2011-1364 不同。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The FakeFile implementation in the sandbox environment in the Google App Engine Python SDK before 1.5.4 does not properly control the opening of files, which allows local users to bypass intended access restrictions and create arbitrary files via ALLOWED_MODES and ALLOWED_DIRS changes within the code parameter to _ah/admin/interactive/execute, a different vulnerability than CVE-2011-1364.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Google App Engine Python SDK 预期权限绕过漏洞
漏洞描述信息
Google Apps是Google推出的在线的应用应用服务,可以向用户提供带有私人标志的电子邮件、即时通信、日历工具、网站设计工具、协同办公工具等。 Google App Engine Python SDK 1.5.4之前版本中存在漏洞。由于sandbox环境的FakeFile的安装启用不能准确控制文件的打开,本地用户可借助_ah/admin/interactive/execute中的code参数的ALLOWED_MODES和ALLOWED_DIRS的改变绕过预期的访问限制和执行任意命令。
CVSS信息
N/A
漏洞类别
授权问题