Vulnérabilité: CVE-2020-5227

Feedgen (feedgen de python) avant 0.9.0 est sensible à XML des attaques par déni de service. Le * feedgen * bibliothèque permet la fourniture XML en tant que contenu pour certains des champs disponibles. Ce fichier XML sera analysé et intégré dans l’arborescence XML existant. Au cours de ce processus, feedgen est vulnérable à XML Les attaques de déni de service (par exemple Bomb XML). Cela devient une préoccupation en particulier si feedgen est utilisé pour inclure du contenu provenant de sources untrused et si XML (y compris XHTML) est directement inclus au lieu de fournir uniquement le contenu tex plaine. Ce problème a été corrigé dans feedgen 0.9.0 qui interdit l’expansion de l’entité XML et des ressources externes.


https://github.com/lkiesow/python-feedgen/security/advisories/GHSA-g8q7-xv52-hf9f
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T6I5ENUYGFNMIH6ZQ62FZ6VU2WD3SIOI/
https://docs.microsoft.com/en-us/archive/msdn-magazine/2009/november/xml-denial-of-service-attacks-and-defenses
https://github.com/lkiesow/python-feedgen/commit/f57a01b20fa4aaaeccfa417f28e66b4084b9d0cf
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5227


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire