漏洞标题
astropy在TransformGraph().to_dot_graph功能中存在RCE漏洞。
漏洞描述信息
Astropy是一个用Python进行天文学的项目,旨在促进Python天文学包之间的互操作性。 Astropy核心包的5.3.2版本由于`TransformGraph().to_dot_graph`函数中对输入验证的不当处理,存在远程代码执行漏洞。恶意用户可以将命令或脚本文件作为`savelayout`参数的值提供,这个参数的值会被放在传递给`subprocess.Popen`的参数列表的第一个位置上。尽管会引发错误,但命令或脚本仍会成功执行。5.3.3版本修复了这个问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
输入验证不恰当
漏洞标题
astropy vulnerable to RCE in TranformGraph().to_dot_graph function
漏洞描述信息
Astropy is a project for astronomy in Python that fosters interoperability between Python astronomy packages. Version 5.3.2 of the Astropy core package is vulnerable to remote code execution due to improper input validation in the `TranformGraph().to_dot_graph` function. A malicious user can provide a command or a script file as a value to the `savelayout` argument, which will be placed as the first value in a list of arguments passed to `subprocess.Popen`. Although an error will be raised, the command or script will be executed successfully. Version 5.3.3 fixes this issue.
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
漏洞标题
Astropy 安全漏洞
漏洞描述信息
Astropy是一个 Python 天文学项目,旨在促进 Python 天文学包之间的互操作性。 Astropy 5.3.2版本存在安全漏洞,该漏洞源于函数TranformGraph().to_dot_graph存在输入验证不当问题,导致存在远程代码执行漏洞。
CVSS信息
N/A
漏洞类别
其他