ALT-PU-2020-4295-1

Обновление пакета python-module-pyxdg в ветке sisyphus

Версия0.26-alt1

Задание#255299

Опубликовано2020-07-23

Макс. серьёзностьHIGH

Серьёзность:

Закрытые проблемы (5)

HIGH7.5

Уязвимость библиотеки языка программирования Python pyxdg, связанная с неверным управлением генерацией кода, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Опубликовано: 2021-11-02Изменено: 2025-10-29

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0СРЕДНЯЯ 5.1

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:P

Ссылки

CVE-2019-12761

LOW3.3

Race condition in the xdg.BaseDirectory.get_runtime_dir function in python-xdg 0.25 allows local users to overwrite arbitrary files by pre-creating /tmp/pyxdg-runtime-dir-fallback-victim to point to a victim-owned location, then replacing it with a symlink to an attacker-controlled location once the get_runtime_dir function is called.

Опубликовано: 2014-01-28Изменено: 2026-04-29

CVSS 2.0НИЗКАЯ 3.3

CVSS:2.0/AV:L/AC:M/Au:N/C:N/I:P/A:P

Ссылки

HIGH7.5

A code injection issue was discovered in PyXDG before 0.26 via crafted Python code in a Category element of a Menu XML document in a .menu file. XDG_CONFIG_DIRS must be set up to trigger xdg.Menu.parse parsing within the directory containing this file. This is due to a lack of sanitization in xdg/Menu.py before an eval call.

Опубликовано: 2019-06-06Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 5.1

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

GHSA-7372-q459-jxhr

NONE

pyxdg Arbitrary File Overwrite via Race Condition

Опубликовано: 2022-05-17Изменено: 2024-10-16

Ссылки

GHSA-r6v3-hpxj-r8rv

HIGH7.5

Code Injection in PyXDG

Опубликовано: 2019-06-07Изменено: 2024-10-15

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки