NLTK (Natural Language Toolkit) — это набор модулей Python с открытым исходным кодом, наборов данных и учебных пособий, поддерживающих исследования и разработки в области обработки естественного языка. В версиях 3.9.3 и более ранних загрузчик NLTK не проверяет атрибуты subdir и id при обработке удаленных файлов индекса XML. Злоумышленники могут контролировать удаленный сервер индексирования XML, чтобы предоставлять вредоносные значения, содержащие последовательности обхода пути (например, `../`), что может привести к созданию произвольного каталога, созданию произвольного файла и перезаписи произвольного файла.
Коммит 89fe2ec2c6bae6e2e7a46dad65cc34231976ed8a исправляет проблему.
Показать оригинальное описание (EN)
NLTK (Natural Language Toolkit) is a suite of open source Python modules, data sets, and tutorials supporting research and development in Natural Language Processing. In versions 3.9.3 and prior, the NLTK downloader does not validate the `subdir` and `id` attributes when processing remote XML index files. Attackers can control a remote XML index server to provide malicious values containing path traversal sequences (such as `../`), which can lead to arbitrary directory creation, arbitrary file creation, and arbitrary file overwrite. Commit 89fe2ec2c6bae6e2e7a46dad65cc34231976ed8a patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nltk Nltk
cpe:2.3:a:nltk:nltk:*:*:*:*:*:*:*:*
|
— |
<= 3.9.3
|