在 python-pip 中發(fā)現(xiàn)了一個缺陷，它處理 git 引用中的 Unicode 分隔符的方式。遠(yuǎn)程攻擊者可能會利用此問題在存儲庫上安裝不同的修訂版。此漏洞的最大威脅是數(shù)據(jù)完整性。

在 python-pip 中發(fā)現(xiàn)了一個缺陷，它處理 git 引用中的 Unicode 分隔符的方式。遠(yuǎn)程攻擊者可能會利用此問題在存儲庫上安裝不同的修訂版。此漏洞的最大威脅是數(shù)據(jù)完整性。

libsolv是一個用于檢查軟件包依賴的庫。libsolv 0.7.17之前版本的src/policy.c中的功能函數(shù)prune_to_存在安全漏洞，攻擊者可利用該漏洞造成拒絕服務(wù)

當(dāng)啟用 "應(yīng)用程序菜單 "或 "窗口列表 "GNOME 擴(kuò)展時(shí)，在某些 gnome-shell 版本中發(fā)現(xiàn)了鎖定保護(hù)繞過漏洞。該漏洞允許訪問鎖定系統(tǒng)的物理攻擊者殺死現(xiàn)有應(yīng)用程序，并以鎖定用戶的身份啟動新程序，即使會話仍處于鎖定狀態(tài)。

Linux kernel 5.13.4 版本及之前版本的drivers/net/usb/hso.c存在安全漏洞，該漏洞源于在不檢查NETREG_REGISTERED狀態(tài)的情況下，調(diào)用unregister_netdev，從而導(dǎo)致資源管理錯誤。

SQLite是一款輕型的數(shù)據(jù)庫，是遵守ACID的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。 SQLite 3.36.0存在緩沖區(qū)錯誤漏洞，該漏洞源于idxGetTableInfo函數(shù)存在分段故障漏洞。攻擊者可以通過特制的SQL查詢導(dǎo)致拒絕服務(wù)。

hivex 存在緩沖區(qū)錯誤漏洞，該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時(shí)，未正確驗(yàn)證數(shù)據(jù)邊界，導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作。攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等。

Linux kernel 存在安全漏洞，該漏洞源于bpf校驗(yàn)器不能正確處理mod32目標(biāo)寄存器截?cái)唷?dǎo)致信息泄露。

在 1.26.5 之前的 urllib3 中發(fā)現(xiàn)了一個問題。當(dāng)在授權(quán)組件中提供包含許多 @ 字符的 URL 時(shí)，授權(quán)正則表達(dá)式表現(xiàn)出災(zāi)難性的回溯，如果 URL 作為參數(shù)傳遞或通過 HTTP 重定向重定向到，則會導(dǎo)致拒絕服務(wù)。

EDK II 中 DxeCore 中的無限遞歸。

Podman中存在訪問控制錯誤漏洞，該漏洞源于未正確檢查在特權(quán)容器中運(yùn)行的非根用戶的文件權(quán)限。容器中的低權(quán)限用戶可能會濫用此漏洞來訪問容器中的任何其他文件。

BlueZ 中不正確的訪問控制可能允許經(jīng)過身份驗(yàn)證的用戶通過相鄰訪問潛在地啟用信息泄露。

OpenLDAP是美國OpenLDAP（Openldap）基金會的一個輕型目錄訪問協(xié)議（LDAP）的開源實(shí)現(xiàn)。OpenLDAP CSN Normalization 存在安全漏洞，攻擊者可利用該漏洞可以通過強(qiáng)制斷言錯誤，從而觸發(fā)拒絕服務(wù)。

5.4之前版本的PyYAML庫中發(fā)現(xiàn)了一個漏洞，當(dāng)它通過full_load方法或FullLoader加載器處理不受信任的YAML文件時(shí)，容易被任意代碼執(zhí)行。使用該庫處理不受信任輸入的應(yīng)用程序可能容易受到此缺陷的影響。該漏洞允許攻擊者通過濫用 python/object/new 構(gòu)造函數(shù)在系統(tǒng)上執(zhí)行任意代碼。此缺陷是由于 CVE-2020-1747 的修復(fù)不完整造成的。

expat 2.1.0 及更早版本無法正確處理實(shí)體擴(kuò)展，除非應(yīng)用程序開發(fā)人員使用 XML_SetEntityDeclHandler 函數(shù)，該函數(shù)允許遠(yuǎn)程攻擊者造成拒絕服務(wù)（資源消耗）、向內(nèi)網(wǎng)服務(wù)器發(fā)送 HTTP 請求或通過精心設(shè)計(jì)的工具讀取任意文件XML 文檔，又名 XML 外部實(shí)體 (XXE) 問題。注意：可以說，因?yàn)?expat 已經(jīng)提供了禁用外部實(shí)體擴(kuò)展的能力，解決這個問題的責(zé)任在于應(yīng)用程序開發(fā)人員；根據(jù)這個論點(diǎn)，這個條目應(yīng)該被拒絕，每個受影響的應(yīng)用程序都需要自己的 CVE。