Webtagr - Sumário de Notícias de Tecnologia

Vulnerabilidade Crítica: Vazamento de credenciais .netrc na biblioteca PSF Requests

2025-06-03

Uma vulnerabilidade de segurança crítica (CVE-2024-47081) foi descoberta na biblioteca Python Requests, amplamente utilizada. Atacadores podem explorar uma chamada de API específica para vazar credenciais armazenadas no arquivo .netrc para terceiros. A vulnerabilidade decorre do tratamento de URLs da biblioteca e foi relatada em setembro de 2024, mas permanece sem correção. Como solução alternativa, recomenda-se que os usuários especifiquem explicitamente as credenciais em cada chamada de API.

Três Bypasses das Restrições de Namespace de Usuário Sem Privilégios do Ubuntu

2025-03-29

O aviso de segurança da Qualys detalha três bypasses descobertos nas restrições de namespace de usuário sem privilégios do Ubuntu 24.04. Atacadores podem usar ferramentas instaladas por padrão, como aa-exec e busybox, ou usar o LD_PRELOAD para obter privilégios de administrador dentro de um namespace, contornando as medidas de segurança. Essas explorações tiram proveito de perfis AppArmor que permitem a criação de namespaces com recursos completos, potencialmente permitindo a exploração de vulnerabilidades do kernel que exigem privilégios como CAP_SYS_ADMIN ou CAP_NET_ADMIN.

Documentação Oficial do Python Contém Exemplo de Vulnerabilidade XSS Clássica

2025-02-23

O pesquisador de segurança Georgi Guninski descobriu uma vulnerabilidade crítica de script entre sites (XSS) em um exemplo de código no módulo CGI da documentação oficial do Python 3.12. A vulnerabilidade decorre da saída direta de dados de formulário fornecidos pelo usuário sem nenhuma sanitização. Isso representa um risco significativo para o desenvolvimento web em Python e potencialmente afeta o código gerado por IA, como o do ChatGPT e Deepseek. Embora o módulo CGI tenha sido removido no Python 3.13, uma quantidade substancial de código legado permanece vulnerável.