Pygments 任意命令执行漏洞

admin

0
文章

0
评论

2022-10-09 22:53:15 CNNVD漏洞来源：ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Pygments 任意命令执行漏洞

CNNVD编号：CNNVD-201601-144
危害等级：超危
CVE编号： CVE-2015-8557
漏洞类型：操作系统命令注入
发布时间： 2016-01-11
威胁类型：远程
更新时间： 2016-01-11
厂商： canonical
漏洞来源：

漏洞简介

Pygments是软件开发者Georg Brandl和其他Pygments贡献者共同维护的一套语法高亮工具，它可使用在论坛、Wiki和其他Web应用中，并提供命令行工具和开发包。

Pygments 1.2.2版本至2.0.2版本的formatters/img.py文件中的‘FontManager._get_nix_font_path’函数存在安全漏洞。远程攻击者可借助字体名称中的shell元字符利用该漏洞执行任意命令。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://pygments.org/

参考网址

来源:bitbucket.org

链接:https://bitbucket.org/birkenfeld/pygments-main/pull-requests/501/fix-shell-injection-in/diff

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2015/Oct/4

来源:UBUNTU

链接:http://www.ubuntu.com/usn/USN-2862-1

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/133823/Pygments-FontManager._get_nix_font_path-Shell-Injection.HTML

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2015/12/14/6

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2015/12/14/17

受影响实体

Canonical Ubuntu_linux:15.10

补丁

Pygments 任意命令执行漏洞的修复措施

特别声明

本站(ZONE.CI)所有文章仅供技术研究，若将其信息做其他用途，由用户承担全部法律及连带责任，本站不承担任何法律及连带责任，请遵守中华人民共和国安全法.

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

咨询加Q：999999999

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Pygments 任意命令执行漏洞

漏洞信息详情

Pygments 任意命令执行漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

补丁

Intel McAfee ePolicy Orchestrator 任意代码执行漏洞

Pygments 任意命令执行漏洞

AVM FRITZ!OS 加密问题漏洞

Wireshark TDS解析器拒绝服务漏洞

WordPress Titan Framework插件跨站脚本漏洞

Ruby colorscore gem 任意代码执行漏洞

OwnCloud Server 安全漏洞

多款Adobe产品释放后重用漏洞

Symphony CMS 跨站脚本漏洞

OwnCloud Server 资源管理错误漏洞

ZONE.CI 全球网