漏洞标题
N/A
漏洞描述信息
在Python 19.2之前的pip包允许在安装命令中传递URL时进行目录操作,因为Content-Disposition头可以在文件名中使用..,例如覆盖/root/.ssh/authorized_keys文件以演示这一点。这在_internal/download.py中的_download_http_url函数中发生。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The pip package before 19.2 for Python allows Directory Traversal when a URL is given in an install command, because a Content-Disposition header can have ../ in a filename, as demonstrated by overwriting the /root/.ssh/authorized_keys file. This occurs in _download_http_url in _internal/download.py.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Python 路径遍历漏洞
漏洞描述信息
Python是Python基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。 Python pip 19.2之前版本中存在路径遍历漏洞。攻击者借助该漏洞可以进行目录遍历。
CVSS信息
N/A
漏洞类别
路径遍历