Especialistas de una empresa de pentest reportan el hallazgo de una vulnerabilidad en Python, el popular lenguaje de programación. Acorde al reporte, la explotación de esta falla permitiría el despliegue de ataques de denegación de servicio (DoS).
A continuación se presenta una breve descripción de la vulnerabilidad reportada, además de su respectivo puntaje y clave de identificación según el Common Vulnerability Scoring System (CVSS).
Identificada como CVE-2020-14422, esta vulnerabilidad existe debido a que la aplicación calcula incorrectamente los valores hash en las clases IPv4Interface e IPv6Interface dentro de Lib/ipaddress.py en Python, lo que permitiría a los hackers remotos desplegar ataques DoS.
Los actores de amenazas pueden desencadenar el algoritmo de los recursos para realizar el ataque DoS si una aplicación es afectada por el rendimiento de un diccionario que contiene objetos IPv4Interface o IPv6Interface, generando múltiples entradas de diccionario, menconan los expertos de una empresa de pentest.
La vulnerabilidad recibió un puntaje de 6.3/10 en la escala CVSS, por lo que se le considera una falla de seguridad media. La falla reside en las siguientes versiones de Python: 3.8.0, 3.8.1, 3.8.2 y 3.8.3.
A pesar de que la vulnerabilidad puede ser explotada por hackers remotos no autenticados a través de la red, los expertos de una empresa de pentest aún no han detectado casos de explotación activa. Los investigadores tampoco han detectado el hallazgo de alguna variante de malware vinculada a este ataque. La mala noticia es que no existe un parche para mitigar por completo el riesgo de explotación.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad