CVE-2023-32309

ALT: (7,5)

CVSS3: 6,5

PyMdown Extensions podria permetre a un atacant remot travessar directoris al sistema causat per una validació incorrecta de la sol·licitud de l’usuari. Un atacant podria enviar una sol·licitud d’URL especialment dissenyada que contingui seqüències de “dot dot” (/../) per veure arxius arbitraris al sistema.

Sistemes Afectats

• PyMdown Extensions PyMdown Extensions 1.5
• PyMdown Extensions PyMdown Extensions 9.11

Remediació
Actualitzeu a l’última versió de PyMdown Extensions (10.0 o posterior), disponible al repositori GIT pymdown-extensions. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://github.com/facelessuser/pymdown-extensions/security/advisories/GHSA-jh85-wwv9-24hv
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32309