漏洞标题
N/A
漏洞描述信息
在Python 2.15.1 和 3.x 版本之前的 marshmallow 库中,schema 的 "only" 选项对待空列表视为没有 "only" 选项,这允许一个原本旨在暴露没有字段的请求,却暴露所有字段(如果 schema 使用 "only" 选项动态过滤,并且有一个用户角色产生 "only" 的空值)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In the marshmallow library before 2.15.1 and 3.x before 3.0.0b9 for Python, the schema "only" option treats an empty list as implying no "only" option, which allows a request that was intended to expose no fields to instead expose all fields (if the schema is being filtered dynamically using the "only" option, and there is a user role that produces an empty value for "only").
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
marshmallow library for Python 安全漏洞
漏洞描述信息
Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。marshmallow library是其中的一个用于将复杂对象转换成Python数据类型的轻量级库。 marshmallow library for Python 2.15.1之前版本和3.0.0b9之前的3.x 版本中存在安全漏洞,该漏洞源于在‘only’参数为空的列表时程序会将所有的参数当做None来处理。攻击者可利用该漏洞泄露所有的字段。
CVSS信息
N/A
漏洞类别
授权问题