4 results (0.008 seconds)

CVSS: 7.5EPSS: 1%CPEs: 9EXPL: 2

python-gnupg 0.4.3 allows context-dependent attackers to trick gnupg to decrypt other ciphertext than intended. To perform the attack, the passphrase to gnupg must be controlled by the adversary and the ciphertext should be trusted. Related to a "CWE-20: Improper Input Validation" issue affecting the affect functionality component. python-gnupg 0.4.3 permite que los atacantes dependientes del contexto engañen a gnupg para descifrar texto cifrado diferente al planeado. Para realizar el ataque, la frase de contraseña para gnupg debe estar controlada por el adversario y el texto cifrado debería ser fiable. Relacionado con un problema CWE-20: validación de entradas incorrecta que afecta al componente de la funcionalidad afectada. • https://github.com/brianwrf/CVE-2019-6690 https://github.com/stigtsp/CVE-2019-6690-python-gnupg-vulnerability http://lists.opensuse.org/opensuse-security-announce/2019-02/msg00008.html http://lists.opensuse.org/opensuse-security-announce/2019-02/msg00058.html http://packetstormsecurity.com/files/151341/Python-GnuPG-0.4.3-Improper-Input-Validation.html http://www.securityfocus.com/bid/106756 https://blog.hackeriet.no/cve-2019-6690-python-gnupg-vulnerability https://lists.debian.org/debian-lts-announ • CWE-20: Improper Input Validation •

CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 3

The shell_quote function in python-gnupg 0.3.5 does not properly quote strings, which allows context-dependent attackers to execute arbitrary code via shell metacharacters in unspecified vectors, as demonstrated using "$(" command-substitution sequences, a different vulnerability than CVE-2014-1928. NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-7323. La función shell_quote en python-gnupg 0.3.5 no cita debidamente cadenas, lo que permite a atacantes dependientes de contexto ejecutar código arbitrario a través de metacaracteres de shell en vectores no especificados, tal y como fue demostrado mediante el uso de secuencias de sustitución de comandos '$(', una vulnerabilidad diferente a CVE-2014-1928. NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2013-7323. • http://seclists.org/oss-sec/2014/q1/245 http://seclists.org/oss-sec/2014/q1/294 http://secunia.com/advisories/56616 http://secunia.com/advisories/59031 http://www.debian.org/security/2014/dsa-2946 https://code.google.com/p/python-gnupg https://code.google.com/p/python-gnupg/issues/detail?id=98 • CWE-20: Improper Input Validation •

CVSS: 4.6EPSS: 0%CPEs: 1EXPL: 3

The shell_quote function in python-gnupg 0.3.5 does not properly escape characters, which allows context-dependent attackers to execute arbitrary code via shell metacharacters in unspecified vectors, as demonstrated using "\" (backslash) characters to form multi-command sequences, a different vulnerability than CVE-2014-1927. NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-7323. La función shell_quote en python-gnupg 0.3.5 no escapa debidamente los caracteres, lo que permite a atacantes dependientes de contexto ejecutar código arbitrario a través de metacaracteres de shell en vectores no especificados, tal y como fue demostrado mediante el uso de caracteres '\' (barra inversa) para crear secuencias de multicomandos, una vulnerabilidad diferente a CVE-2014-1927. NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2013-7323. • http://seclists.org/oss-sec/2014/q1/246 http://seclists.org/oss-sec/2014/q1/294 http://secunia.com/advisories/56616 http://secunia.com/advisories/59031 http://www.debian.org/security/2014/dsa-2946 https://code.google.com/p/python-gnupg https://code.google.com/p/python-gnupg/issues/detail?id=98 • CWE-20: Improper Input Validation •

CVSS: 4.4EPSS: 0%CPEs: 2EXPL: 0

python-gnupg 0.3.5 and 0.3.6 allows context-dependent attackers to have an unspecified impact via vectors related to "option injection through positional arguments." NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-7323. python-gnupg 0.3.5 y 0.3.6 permite a atacantes dependientes de contexto tener un impacto no especificado a través de vectores relacionados con 'la inyección de opciones mediante argumentos posicionales.' NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2013-7323. • http://seclists.org/oss-sec/2014/q1/245 http://seclists.org/oss-sec/2014/q1/335 http://secunia.com/advisories/59031 http://www.debian.org/security/2014/dsa-2946 • CWE-20: Improper Input Validation •