Vulnerabilità: CVE-2020-7694

Questo riguarda tutte le versioni di pacchetto uvicorn. Il logger richiesta fornito dal pacchetto è vulnerabile ad iniezione sequenza ASNI escape. Ogni volta che viene ricevuto alcuna richiesta HTTP, il comportamento predefinito di uvicorn è quello di registrare i suoi dettagli per la console o un file di log. Quando gli aggressori richiesta URL realizzati con sequenze di escape per cento con codifica, il componente di registrazione registrerà l’URL dopo che è stato elaborato con urllib.parse.unquote, quindi la conversione di tutti i caratteri per cento codificato nella loro equivalenti in singolo carattere, che può avere un significato speciale in emulatori di terminale. Richiedendo gli URL con percorsi artigianali, gli aggressori possono: log di accesso del * inquinare uvicorn, quindi compromettere l’integrità di tali file. * i codici di sequenza Usa ANSI per tentare di interagire con l’emulatore di terminale che sta mostrando i log (sia in tempo reale o da un file).


https://github.com/encode/uvicorn
https://github.com/encode/uvicorn
https://snyk.io/vuln/SNYK-PYTHON-UVICORN-575560
https://snyk.io/vuln/SNYK-PYTHON-UVICORN-575560
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7694


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi