ReportLab 容易通过 paraparser 执行远程代码 (CVE-2019-19450)

admin

0
文章

0
评论

2023-11-29 21:00:06 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 ReportLab 容易通过 paraparser 执行远程代码 (CVE-2019-19450)

CVE编号

CVE-2019-19450

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-09-20

漏洞描述

paraparser in ReportLab before 3.5.31 allows remote code execution because start_unichar in paraparser.py evaluates untrusted user input in a unichar element in a crafted XML document with '<unichar code="' followed by arbitrary Python code, a similar issue to CVE-2019-17626.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/MrBitBucket/reportlab-mirror/blob/master/CHANGES.md
https://lists.debian.org/debian-lts-announce/2023/09/msg00037.html
https://pastebin.com/5MicRrr4

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	reportlab	reportlab	*		Up to (excluding) 3.5.31
	运行在以下环境
	系统	amazon_2	python-reportlab	*		Up to (excluding) 2.5-10.amzn2.0.1
	运行在以下环境
	系统	anolis_os_7	python-reportlab	*		Up to (excluding) 2.5-11
	运行在以下环境
	系统	anolis_os_8	python-reportlab-doc	*		Up to (excluding) 3.4.0-8.0.1
	运行在以下环境
	系统	debian_10	python-reportlab	*		Up to (excluding) 3.5.13-1+deb10u2
	运行在以下环境
	系统	debian_11	python-reportlab	*		Up to (excluding) 3.5.31-1
	运行在以下环境
	系统	debian_12	python-reportlab	*		Up to (excluding) 3.5.31-1
	运行在以下环境
	系统	debian_sid	python-reportlab	*		Up to (excluding) 3.5.31-1
	运行在以下环境
	系统	kylinos_aarch64_V10	python-reportlab	*		Up to (excluding) 2.5-11.el7_9
	运行在以下环境
	系统	kylinos_x86_64_V10	python-reportlab	*		Up to (excluding) 2.5-11.el7_9
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 2.5-11.el7_9
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 3.4.0-8.el8_8.1
	运行在以下环境
	系统	redhat_7	python-reportlab-docs	*		Up to (excluding) 2.5-11.el7_9
	运行在以下环境
	系统	redhat_8	python3-reportlab	*		Up to (excluding) 3.4.0-8.el8_8.1
	运行在以下环境
	系统	unionos_a	python-reportlab	*		Up to (excluding) python-reportlab-3.4.0-10.uelc20.02
	运行在以下环境
	系统	unionos_d	python-reportlab	*		Up to (excluding) 3.5.13.1-deepin1