CVE-2022-30595
https://notcve.org/view.php?id=CVE-2022-30595
libImaging/TgaRleDecode.c in Pillow 9.1.0 has a heap buffer overflow in the processing of invalid TGA image files. El archivo libImaging/TgaRleDecode.c en Pillow versión 9.1.0, presenta un desbordamiento del búfer de la pila en el procesamiento de archivos de imagen TGA no válidos • https://github.com/python-pillow/Pillow/blob/main/src/libImaging/TgaRleDecode.c https://pillow.readthedocs.io/en/stable/releasenotes/9.1.1.html • CWE-787: Out-of-bounds Write •
CVE-2022-28470
https://notcve.org/view.php?id=CVE-2022-28470
marcador package in PyPI 0.1 through 0.13 included a code-execution backdoor. El paquete marcador en PyPI versiones 0.1 hasta 0.13, incluía una puerta trasera de ejecución de código • http://pypi.doubanio.com/simple/request https://github.com/joajfreitas/marcador/issues/5 https://pypi.org/project/marcador •
CVE-2022-24902 – Memory issue in playing videos
https://notcve.org/view.php?id=CVE-2022-24902
TkVideoplayer is a simple library to play video files in tkinter. Uncontrolled memory consumption in versions of TKVideoplayer prior to 2.0.0 can theoretically lead to performance degradation. There are no known workarounds. This issue has been patched and users are advised to upgrade to version 2.0.0 or later. TkVideoplayer es una sencilla biblioteca para reproducir archivos de vídeo en tkinter. • https://github.com/PaulleDemon/tkVideoPlayer/issues/3 https://github.com/PaulleDemon/tkVideoPlayer/security/advisories/GHSA-jmhj-vh4q-hhmq • CWE-400: Uncontrolled Resource Consumption •
CVE-2022-30284
https://notcve.org/view.php?id=CVE-2022-30284
In the python-libnmap package through 0.7.2 for Python, remote command execution can occur (if used in a client application that does not validate arguments). NOTE: the vendor believes it would be unrealistic for an application to call NmapProcess with arguments taken from input data that arrived over an untrusted network, and thus the CVSS score corresponds to an unrealistic use case. None of the NmapProcess documentation implies that this is an expected use case ** EN DISPUTA ** En el paquete python-libnmap versiones hasta0.7.2 para Python, puede producirse una ejecución de un comando remoto (si es usado en una aplicación cliente que no comprueba los argumentos). NOTA: el proveedor cree que no sería realista que una aplicación llamara a NmapProcess con argumentos tomados de datos de entrada que llegaron a través de una red no confiable, y por lo tanto la puntuación CVSS corresponde a un caso de uso no realista. Ninguna documentación de NmapProcess implica que este sea un caso de uso esperado • https://github.com/savon-noir/python-libnmap/releases https://libnmap.readthedocs.io/en/latest/process.html#using-libnmap-process https://pypi.org/project/python-libnmap https://www.swascan.com/security-advisory-libnmap-2 • CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') •
CVE-2015-20107 – python: mailcap: findmatch() function does not sanitize the second argument
https://notcve.org/view.php?id=CVE-2015-20107
In Python (aka CPython) up to 3.10.8, the mailcap module does not add escape characters into commands discovered in the system mailcap file. This may allow attackers to inject shell commands into applications that call mailcap.findmatch with untrusted input (if they lack validation of user-provided filenames or arguments). The fix is also back-ported to 3.7, 3.8, 3.9 En Python (también conocido como CPython) hasta la versión 3.10.8, el módulo mailcap no añade caracteres de escape en los comandos descubiertos en el archivo mailcap del sistema. Esto puede permitir a los atacantes inyectar comandos de shell en aplicaciones que llamen a mailcap.findmatch con entradas no confiables (si carecen de validación de los nombres de archivos o argumentos proporcionados por el usuario). La corrección también se ha aplicado a las versiones 3.7, 3.8 y 3.9 A command injection vulnerability was found in the Python mailcap module. • https://bugs.python.org/issue24778 https://github.com/python/cpython/issues/68966 https://lists.debian.org/debian-lts-announce/2023/05/msg00024.html https://lists.debian.org/debian-lts-announce/2023/06/msg00039.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/46KWPTI72SSEOF53DOYQBQOCN4QQB2GE https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/53TQZFLS6O3FLIMVSXFEEPZSWLDZLBOX https://lists.fedoraproject.org/archives/list/package-announ • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •