CVSS: 4.4EPSS: 0%CPEs: 2EXPL: 0CVE-2014-1929
https://notcve.org/view.php?id=CVE-2014-1929
python-gnupg 0.3.5 and 0.3.6 allows context-dependent attackers to have an unspecified impact via vectors related to "option injection through positional arguments." NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-7323. python-gnupg 0.3.5 y 0.3.6 permite a atacantes dependientes de contexto tener un impacto no especificado a través de vectores relacionados con 'la inyección de opciones mediante argumentos posicionales.' NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2013-7323. • http://seclists.org/oss-sec/2014/q1/245 http://seclists.org/oss-sec/2014/q1/335 http://secunia.com/advisories/59031 http://www.debian.org/security/2014/dsa-2946 • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 42EXPL: 0CVE-2013-7040
https://notcve.org/view.php?id=CVE-2013-7040
Python 2.7 before 3.4 only uses the last eight bits of the prefix to randomize hash values, which causes it to compute hash values without restricting the ability to trigger hash collisions predictably and makes it easier for context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table. NOTE: this vulnerability exists because of an incomplete fix for CVE-2012-1150. Python 2.7 anterior a 3.4 solamente utiliza las últimas ocho partes del prefijo para asignar valores de hash de forma aleatoria, lo que causa que calcule valores de hash sin restringir la habilidad de provocar colisiones de hash de forma previsible y facilita a atacantes dependientes de contexto causar una denegación de servicio (consumo de CPU) a través de entradas manipuladas hacia una aplicación que mantiene una tabla de hash. NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2012-1150. • http://bugs.python.org/issue14621 http://lists.apple.com/archives/security-announce/2015/Aug/msg00001.html http://www.openwall.com/lists/oss-security/2013/12/09/13 http://www.openwall.com/lists/oss-security/2013/12/09/3 http://www.securityfocus.com/bid/64194 https://support.apple.com/kb/HT205031 • CWE-310: Cryptographic Issues •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 0CVE-2014-3007
https://notcve.org/view.php?id=CVE-2014-3007
Python Image Library (PIL) 1.1.7 and earlier and Pillow 2.3 might allow remote attackers to execute arbitrary commands via shell metacharacters in unspecified vectors related to CVE-2014-1932, possibly JpegImagePlugin.py. Python Image Library (PIL) 1.1.7 y anteriores y Pillow 2.3 podrían permitir a atacantes remotos ejecutar comandos arbitrarios a través de metacaracteres de shell en vectores no especificados relacionados con CVE-2014-1932, posiblemente JpegImagePlugin.py. • http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-1932.html https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737059 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 7.1EPSS: 0%CPEs: 17EXPL: 2CVE-2013-7338
https://notcve.org/view.php?id=CVE-2013-7338
Python before 3.3.4 RC1 allows remote attackers to cause a denial of service (infinite loop and CPU consumption) via a file size value larger than the size of the zip file to the (1) ZipExtFile.read, (2) ZipExtFile.read(n), (3) ZipExtFile.readlines, (4) ZipFile.extract, or (5) ZipFile.extractall function. Python anterior a 3.3.4 RC1 permite a atacantes remotos causar una denegación de servicio (bucle infinito y consumo de CPU) a través de un valor de tamaño de archivo más grande que el tamaño del archivo zip hacia la función (1) ZipExtFile.read, (2) ZipExtFile.read(n), (3) ZipExtFile.readlines, (4) ZipFile.extract o (5) ZipFile.extractall. • http://bugs.python.org/issue20078 http://hg.python.org/cpython/rev/79ea4ce431b1 http://lists.apple.com/archives/security-announce/2015/Aug/msg00001.html http://lists.opensuse.org/opensuse-updates/2014-05/msg00008.html http://seclists.org/oss-sec/2014/q1/592 http://seclists.org/oss-sec/2014/q1/595 http://www.securityfocus.com/bid/65179 http://www.securitytracker.com/id/1029973 https://docs.python.org/3.3/whatsnew/changelog.html https://security.gentoo.org/glsa/201503& • CWE-20: Improper Input Validation •
CVSS: 4.4EPSS: 0%CPEs: 2EXPL: 1CVE-2014-1932
https://notcve.org/view.php?id=CVE-2014-1932
The (1) load_djpeg function in JpegImagePlugin.py, (2) Ghostscript function in EpsImagePlugin.py, (3) load function in IptcImagePlugin.py, and (4) _copy function in Image.py in Python Image Library (PIL) 1.1.7 and earlier and Pillow before 2.3.1 do not properly create temporary files, which allow local users to overwrite arbitrary files and obtain sensitive information via a symlink attack on the temporary file. Las funciones (1) load_djpeg ein JpegImagePlugin.py, (2) Ghostscript en EpsImagePlugin.py, (3) load en IptcImagePlugin.py and (4) _copy en Image.py en Python Image Library (PIL) 1.1.7 y anteriores y Pillow anterior a 2.3.1 no crean debidamente archivos temporales, lo que permite a usuarios locales sobrescribir archivos arbitrarios y obtener información sensible a través de un ataque symlink sobre el archivo temporal. • http://lists.opensuse.org/opensuse-updates/2014-05/msg00002.html http://www.openwall.com/lists/oss-security/2014/02/11/1 http://www.securityfocus.com/bid/65511 http://www.ubuntu.com/usn/USN-2168-1 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737059 https://github.com/python-imaging/Pillow/commit/4e9f367dfd3f04c8f5d23f7f759ec12782e10ee7 https://security.gentoo.org/glsa/201612-52 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •