python
Boletins de python.
pypdf: Vulnerabilidade de consumo excessivo de memória ao extrair texto em modo layout
Uma vulnerabilidade no pypdf permite que um atacante crie um PDF que cause alto consumo de memória ao extrair texto em modo layout
pypdf: Vulnerabilidade de negação de serviço via cross-reference streams maliciosas
Uma vulnerabilidade de segurança no pypdf permite que PDFs manipulados com streams de referência cruzada usando /W [0 0 0] e valor
Tornado: vazamento de memória em websocket_mask na extensão nativa
A extensão nativa opcional `tornado.
zeroconf: vulnerabilidade de negação de serviço por consumo de memória e CPU
Uma vulnerabilidade de segurança no AsyncListener.
Kolibri: Vulnerabilidade SSRF em endpoints da API
Múltiplos endpoints da API do Kolibri aceitavam um parâmetro `baseurl` não validado, permitindo SSRF e reflexão de resposta.
meta-ads-mcp: Vazamento de token de acesso do Meta em servidor MCP não autenticado
AuthInjectionMiddleware.dispatch() em http_auth_integration.py:272 encaminha requisições sem autenticação, e api.py:136 anexa acce
WsgiDAV 4.3.3: Path Traversal em FilesystemProvider._loc_to_file_path()
WsgiDAV 4.3.3 possui uma vulnerabilidade de path traversal em FilesystemProvider._loc_to_file_path() que permite escapar da raiz c
vLLM: Revisão de artefatos não é aplicada consistentemente
O pinning de revisão no vLLM não se aplica consistentemente a todos os artefatos carregados para um modelo.
PDM: escrita de arquivos de configuração sem proteção contra symlinks
PDM escreve arquivos de estado/configuração locais do projeto (pdm.
Litestar: CSRF cookie não escapado permite XSS em templates com CSRF
Instâncias do Litestar que usam templates com proteção CSRF são vulneráveis a injeção de HTML levando a XSS, pois o conteúdo do co
pdm: Path traversal em InstallDestination.write_to_fs() permite escrita arbitrária de arquivos
InstallDestination.write_to_fs() em src/pdm/installers/installers.py substitui o método da classe base para adicionar suporte a sy
django 6.0.6: nova versão disponível
Django 6.0.6 é um novo lançamento do framework web Python de alto nível.
docling: correções de segurança no backend METS-GBS
Corrigidas vulnerabilidades de XXE, bomba de descompressão e extração ilimitada de arquivos no backend METS-GBS.
docling: correção de segurança em validação de caminhos no backend LaTeX
O backend LaTeX não validava caminhos em comandos \includegraphics, \input e \include, permitindo path traversal.
aiohttp: cookies enviados após redirecionamento entre origens
Cookies definidos com o parâmetro `cookies` em requisições são enviados após seguir um redirecionamento entre origens, potencialme
Starlette: validação do cabeçalho Host conforme RFC 9112/3986
O cabeçalho HTTP Host agora é validado contra a gramática das RFCs 9112 §3.
WebOb 1.8.10 corrige bypass de segurança na normalização do cabeçalho Location
WebOb 1.8.10 corrige um bypass de segurança na normalização do cabeçalho Location, onde caracteres ASCII como tabulação, retorno d
strawberry-graphql: QueryDepthLimiter vulnerável a DoS por recursão infinita em fragmentos circulares
A extensão QueryDepthLimiter não possui detecção de ciclos em fragmentos.
strawberry-graphql: MaxAliasesLimiter não contabiliza FragmentSpreadNode
A extensão MaxAliasesLimiter no Strawberry GraphQL não considera o efeito multiplicativo de FragmentSpreadNode, permitindo que ata
kas: vulnerabilidade de segurança permite substituição de repositório
Uma vulnerabilidade de segurança no kas permite que um invasor substitua um repositório por um malicioso sob condições específicas
vantage6: Algoritmos maliciosos podem acessar arquivos de outros algoritmos
Um aviso de segurança foi publicado para o vantage6 indicando que algoritmos maliciosos podem potencialmente acessar arquivos de e
Bugsink: autorização de eventos agora exige vínculo com issue e projeto
Páginas de evento de issue no Bugsink não aceitam mais um identificador de evento direto da URL sem que ele pertença à issue na UR
bugsink: Correção de autorização em ações em lote na lista de issues
Corrigido um problema de autorização entre projetos onde ações em lote na lista de issues podiam modificar issues de outros projet
Bugsink: vazamento de metadados entre projetos via debug IDs (CVE-2024-XXXX)
Antes do 2.2.0, a resolução de sourcemaps e arquivos de debug por debug ID não era escopada ao projeto proprietário do metadado. U
Bugsink: Vulnerabilidade de negação de serviço por excesso de tags em eventos (atualize para 2.2.2)
Versões do Bugsink anteriores a 2.
GeoNode 4.4.5 e 5.0.2: Vulnerabilidade de SSRF no registro de serviço
GeoNode versões 4.4.5 e 5.0.2 (e anteriores dentro de seus respectivos lançamentos) contêm uma vulnerabilidade de server-side requ
dulwich: Sanitização de assunto de commit em format_patch para evitar path traversal
dulwich.porcelain.format_patch e a CLI format-patch agora sanitizam assuntos de commit para evitar path traversal e injeção de nom
Dulwich: vulnerabilidade de exaustão de memória em add_thin_pack / apply_delta
Uma vulnerabilidade de exaustão de memória (CWE-400/CWE-789) em add_thin_pack / apply_delta permite que um cliente com acesso de p
docling: Vulnerabilidade XXE em parsers XML de patentes USPTO corrigida na v2.74.0
Parsers XML de patentes USPTO (ICE v4.
docling: correções de segurança no backend HTML
Correções de segurança no backend HTML do docling: corrigidas múltiplas vulnerabilidades, incluindo acesso a arquivos locais via U