Copier — это библиотека и приложение CLI для рендеринга шаблонов проектов. До версии 9.14.1 функция _external_data в Copier позволяла шаблону загружать файлы YAML, используя пути, управляемые шаблоном. Если в области действия находятся ненадежные шаблоны, вредоносный шаблон может читать выбранные злоумышленником локальные файлы, доступные для анализа YAML, которые доступны пользователю, запускающему Copier, и отображать их содержимое в отображаемом выводе.
Эта проблема исправлена в версии 9.14.1.
Показать оригинальное описание (EN)
Copier is a library and CLI app for rendering project templates. Prior to version 9.14.1, Copier's _external_data feature allows a template to load YAML files using template-controlled paths. If untrusted templates are in scope, a malicious template can read attacker-chosen YAML-parseable local files that are accessible to the user running Copier and expose their contents in rendered output. This issue has been patched in version 9.14.1.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Copier-Org Copier
cpe:2.3:a:copier-org:copier:*:*:*:*:*:python:*:*
|
— |
9.14.1
|