sindre
/
Beelance
Suivre 1
Ajouter aux favoris 0
Bifurcation 0
Code Tickets 6 Demandes d'ajout 0 Versions 0 Wiki Activité
Étiquettes Jalons
Nouveau ticket

#6 Remote OS command execution

Fermé
créé il y a 5 ans par sindre · 0 commentaires
sindre a commenté il y a 5 ans

The first time a user uploads a file to a task there is a new foldercreated by using the taskid. Tampering with the task id can allow for command injection when executing OS command swith the popen function in the Python os package.

The first time a user uploads a file to a task there is a new foldercreated by using the taskid. Tampering with the task id can allow for command injection when executing OS command swith the popen function in the Python os package.
sindre a ajouté cela au jalon Required fixes il y a 5 ans
sindre a ajouté l'étiquette
bug
il y a 5 ans
sindre a ajouté l'étiquette
webpy
il y a 5 ans
sindre a ajouté l'étiquette
injection
il y a 5 ans
sindre a référencé ce ticket depuis une révision il y a 5 ans
Fix OS remote code execution Fixes #6
Connectez-vous pour rejoindre cette conversation.
Aucune branche/tag spécifiés
Branches Tags
Étiquettes
Effacer les étiquettes
broken access control
Broken access control vulnerability broken authentication
Broken authentication vulnerability bug
Something is not working csrf
Cross site request forgery vulnerability enhancement
New feature injection
Injection vulnerability insecure deserialization
Insecure deserialization vulnerability known vulnerability
Using components with known vulnerabilities logging
Insufficient logging vulnerability nginx
Concerns nginx security misconfiguration
Security misconfiguration vulnerability sensitive data exposure
Sensitive data exposure vulnerability webpy
Concerns the webpy framework
Pas d'étiquette
broken access control
broken authentication
bug
csrf
enhancement
injection
insecure deserialization
known vulnerability
logging
nginx
security misconfiguration
sensitive data exposure
webpy
Jalon
Effacer le jalon
Aucun jalon
Required fixes
Affecté à
Supprimer les affectations
Pas d'assignataires
1 participants
Échéance

Aucune échéance n'a été définie.

Dépendances

Ce ticket n'a actuellement pas de dépendance.

Écrire Aperçu
Chargement…
Annuler
Enregistrer
Il n'existe pas encore de contenu.
Supprimer la branche '%!s(MISSING)'

Supprimer une branche est permanent. Cela NE PEUVENT être annulées. Continuer ?

Non
Oui