Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Vulnerabilidad crítica: Fuga de credenciales .netrc en la biblioteca PSF Requests

2025-06-03
Vulnerabilidad crítica: Fuga de credenciales .netrc en la biblioteca PSF Requests

Se ha descubierto una vulnerabilidad de seguridad crítica (CVE-2024-47081) en la biblioteca Python Requests, ampliamente utilizada. Los atacantes pueden explotar una llamada de API específica para filtrar las credenciales almacenadas en el archivo .netrc a terceros. La vulnerabilidad se debe al manejo de URL de la biblioteca y se informó en septiembre de 2024, pero sigue sin solución. Como solución alternativa, se recomienda a los usuarios que especifiquen explícitamente las credenciales en cada llamada de API.

Leer más
(seclists.org)
Desarrollo

Tres métodos para eludir las restricciones de espacio de nombres de usuario sin privilegios de Ubuntu

2025-03-29
Tres métodos para eludir las restricciones de espacio de nombres de usuario sin privilegios de Ubuntu

El aviso de seguridad de Qualys detalla tres métodos para eludir las restricciones de espacio de nombres de usuario sin privilegios descubiertas en Ubuntu 24.04. Los atacantes pueden aprovechar herramientas instaladas de forma predeterminada, como aa-exec y busybox, o usar LD_PRELOAD para obtener privilegios de administrador dentro de un espacio de nombres, eludiendo las medidas de seguridad. Estas vulnerabilidades aprovechan los perfiles de AppArmor que permiten la creación de espacios de nombres con capacidades completas, lo que potencialmente permite la explotación de vulnerabilidades del kernel que requieren privilegios como CAP_SYS_ADMIN o CAP_NET_ADMIN.

Leer más
(seclists.org)
Desarrollo Espacio de nombres de usuario

La documentación oficial de Python contiene un ejemplo de vulnerabilidad XSS clásica

2025-02-23
La documentación oficial de Python contiene un ejemplo de vulnerabilidad XSS clásica

El investigador de seguridad Georgi Guninski descubrió una vulnerabilidad crítica de scripting entre sitios (XSS) en un ejemplo de código del módulo CGI de la documentación oficial de Python 3.12. La vulnerabilidad se debe a la salida directa de datos de formulario proporcionados por el usuario sin ninguna sanitización. Esto representa un riesgo significativo para el desarrollo web en Python y potencialmente afecta al código generado por IA, como el de ChatGPT y Deepseek. Aunque el módulo CGI se eliminó en Python 3.13, una cantidad sustancial de código heredado sigue siendo vulnerable.

Leer más
(seclists.org)
Desarrollo