CVSS: 7.2EPSS: 0%CPEs: 37EXPL: 1CVE-2011-4211
https://notcve.org/view.php?id=CVE-2011-4211
The FakeFile implementation in the sandbox environment in the Google App Engine Python SDK before 1.5.4 does not properly control the opening of files, which allows local users to bypass intended access restrictions and create arbitrary files via ALLOWED_MODES and ALLOWED_DIRS changes within the code parameter to _ah/admin/interactive/execute, a different vulnerability than CVE-2011-1364. La implementación FakeFile en el entorno de ejecución controlada en Google App Engine Python SDK anterior a v1.5.4 no controla adecuadamente la apertura de archivos, que permite a usuarios locales eludir restricciones de acceso y crear archivos de su elección a través de ALLOWED_MODES y cambios ALLOWED_DIRS dentro del parámetro "code" en _ah/admin/interactive/Execute, una vulnerabilidad diferente a CVE-2011-1364. • http://blog.watchfire.com/files/googleappenginesdk.pdf http://code.google.com/p/googleappengine/wiki/SdkReleaseNotes http://www.securityfocus.com/bid/50464 https://exchange.xforce.ibmcloud.com/vulnerabilities/71064 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.2EPSS: 0%CPEs: 37EXPL: 1CVE-2011-4212
https://notcve.org/view.php?id=CVE-2011-4212
The sandbox environment in the Google App Engine Python SDK before 1.5.4 does not properly prevent os.popen calls, which allows local users to bypass intended access restrictions and execute arbitrary commands via a dev_appserver.RestrictedPathFunction._original_os reference within the code parameter to _ah/admin/interactive/execute, a different vulnerability than CVE-2011-1364. El entorno de entorno de ejecución segura en Google App Engine Python SDK anterior a v1.5.4 no previene de forma adecuada llamadas os.popen, lo que permite a usuarios locales eludir restricciones de acceso y ejecutar comandos de su elección a través de una referencia dev_appserver.RestrictedPathFunction._original_os dentro del parámetros "code" en _ah/admin/interactive/execute, una vulnerabilidad diferente a CVE-2011-1364. • http://blog.watchfire.com/files/googleappenginesdk.pdf http://code.google.com/p/googleappengine/wiki/SdkReleaseNotes https://exchange.xforce.ibmcloud.com/vulnerabilities/71063 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2011-4213
https://notcve.org/view.php?id=CVE-2011-4213
The sandbox environment in the Google App Engine Python SDK before 1.5.4 does not properly prevent use of the os module, which allows local users to bypass intended access restrictions and execute arbitrary commands via a file_blob_storage.os reference within the code parameter to _ah/admin/interactive/execute, a different vulnerability than CVE-2011-1364. El entorno Sandbox en el motor de aplicaciones de Google de Python SDK anterior a la versión 1.5.4, no impide apropiadamente el uso del módulo de sistema operativo, lo que permite a los usuarios locales omitir las restricciones de acceso previstas y ejecutar comandos arbitrarios por medio de una referencia file_blob_storage.os dentro del parámetro Code a _ah/admin/interactive/execute, una vulnerabilidad diferente a CVE-2011-1364. • http://blog.watchfire.com/files/googleappenginesdk.pdf http://code.google.com/p/googleappengine/wiki/SdkReleaseNotes https://exchange.xforce.ibmcloud.com/vulnerabilities/71062 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 37EXPL: 1CVE-2011-1364 – Google App Engine Code Execution
https://notcve.org/view.php?id=CVE-2011-1364
Cross-site request forgery (CSRF) vulnerability in _ah/admin/interactive/execute (aka the Interactive Console) in the SDK Console (aka Admin Console) in the Google App Engine Python SDK before 1.5.4 allows remote attackers to hijack the authentication of administrators for requests that execute arbitrary Python code via the code parameter. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF)en _ah/admin/interactive/execute (también conocido como Interactive Console) en SDK Console (también Admin Console) en Google App Engine Python SDK anterior a v1.5.4 permite a atacantes remotos secuestrar la autenticación de administradores para las peticiones que ejecutar código arbitrario a través de Python el parámetro "code". The Google App Engine SDK for Python suffers from a code execution vulnerability that can be leveraged by a CSRF vulnerability. • http://blog.watchfire.com/files/googleappenginesdk.pdf http://code.google.com/p/googleappengine/wiki/SdkReleaseNotes http://www.securityfocus.com/bid/50075 https://exchange.xforce.ibmcloud.com/vulnerabilities/69958 • CWE-352: Cross-Site Request Forgery (CSRF) •