Memray — это профилировщик памяти для Python. До версии Memray 1.19.2 Memray отображал командную строку отслеживаемого процесса непосредственно в сгенерированные отчеты HTML без экранирования. Поскольку выхода не было, аргументы командной строки, контролируемые злоумышленником, были вставлены в созданный отчет в виде необработанного HTML.
Это позволяло выполнять JavaScript, когда жертва открывала сгенерированный отчет в браузере. Версия 1.19.2 устраняет проблему.
Показать оригинальное описание (EN)
Memray is a memory profiler for Python. Prior to Memray 1.19.2, Memray rendered the command line of the tracked process directly into generated HTML reports without escaping. Because there was no escaping, attacker-controlled command line arguments were inserted as raw HTML into the generated report. This allowed JavaScript execution when a victim opened the generated report in a browser. Version 1.19.2 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Bloomberg Memray
cpe:2.3:a:bloomberg:memray:*:*:*:*:*:python:*:*
|
— |
1.19.2
|