ГлавнаяБаза уязвимостей БДУ → BDU:2024-07075
10критическая

BDU:2024-07075 (CVE-2024-39705)

Уязвимость функции nltk.download() пакета библиотек для символьной и статистической обработки естественного языка NLTK, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-09-16
Описание

Уязвимость функции nltk.download() пакета библиотек для символьной и статистической обработки естественного языка NLTK связана с восстановлением в памяти недостоверных данных при обработке пакетов averaged_perceptron_tagger и punkt. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
NLTK (до 3.8.1 включительно)
Способ устранения

Использование рекомендаций:
https://github.com/nltk/nltk/pull/3290
https://github.com/delftdata/valentine/pull/75

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/nltk/nltk/issues/2522https://github.com/nltk/nltk/issues/3266https://www.vicarius.io/vsociety/posts/rce-in-python-nltk-cve-2024-39705-39706https://github.com/advisories/GHSA-cgvx-9447-vcchhttps://www.nltk.org/news.html
Проверьте безопасность своего сайта и почты → Полная проверка домена