ID CVE-2019-9947
Summary An issue was discovered in urllib2 in Python 2.x through 2.7.16 and urllib in Python 3.x through 3.7.3. CRLF injection is possible if the attacker controls a url parameter, as demonstrated by the first argument to urllib.request.urlopen with \r\n (specifically in the path component of a URL that lacks a ? character) followed by an HTTP header or a Redis command. This is similar to the CVE-2019-9740 query string issue. This is fixed in: v2.7.17, v2.7.17rc1, v2.7.18, v2.7.18rc1; v3.5.10, v3.5.10rc1, v3.5.8, v3.5.8rc1, v3.5.8rc2, v3.5.9; v3.6.10, v3.6.10rc1, v3.6.11, v3.6.11rc1, v3.6.12, v3.6.9, v3.6.9rc1; v3.7.4, v3.7.4rc1, v3.7.4rc2, v3.7.5, v3.7.5rc1, v3.7.6, v3.7.6rc1, v3.7.7, v3.7.7rc1, v3.7.8, v3.7.8rc1, v3.7.9.
References
Vulnerable Configurations
  • cpe:2.3:a:python:python:3.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:alpha3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:alpha3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:alpha4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:alpha4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.1:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.1:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.2:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.2:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.2:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.2:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.3:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.3:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.4:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.4:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.4:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.4:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.5:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.5:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.5:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.5:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.5:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.5:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.6:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.6:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.6:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.6:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.6:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.6:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.7:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.7:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.7:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.7:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.7:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.7:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.7:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.7:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.8:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.8:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.8:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.8:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.9:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.9:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.6.9:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.6.9:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:alpha3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:alpha3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:alpha4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:alpha4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:beta5:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:beta5:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.1:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.1:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.1:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.1:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.2:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.2:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.3:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.3:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.4:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.4:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.4:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.4:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.7.4:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.7.4:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:alpha3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:alpha3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:alpha4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:alpha4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:rc3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:rc3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:rc4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:rc4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.1:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.1:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.2:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.2:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.3:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.3:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.4:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.4:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.4:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.4:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.5:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.5:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.5:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.5:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.5:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.6:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.6:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.6:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.6:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.6:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.7:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.7:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.7:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.7:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.1:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.1:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.2:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.2:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.3:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.3:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.3:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.3:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.3:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.3:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.4:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.4:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.4:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.4:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.4:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.4:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.5:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.5:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.6:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.6:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.6:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.6:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.6:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.6:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.7:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.7:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.7:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.7:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.7:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.7:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.8:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.8:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.9:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.9:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.9:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.9:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.9:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.9:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.10:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.10:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.10:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.10:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.10:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.10:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.11:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.11:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.11:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.11:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.11:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.11:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.12:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.12:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.12:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.12:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.12:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.12:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.13:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.13:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.13:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.13:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.13:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.13:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.14:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.14:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.14:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.14:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.14:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.14:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.15:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.15:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.15:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.15:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.15:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.15:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.16:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.16:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.16:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.16:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.17:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.17:*:*:*:*:*:*:*
CVSS
Base: 4.3 (as of 16-08-2022 - 13:00)
Impact:
Exploitability:
CWE CWE-93
CAPEC
  • Web Logs Tampering
    Web Logs Tampering attacks involve an attacker injecting, deleting or otherwise tampering with the contents of web logs typically for the purposes of masking other malicious behavior. Additionally, writing malicious data to log files may target jobs, filters, reports, and other agents that process the logs in an asynchronous attack pattern. This pattern of attack is similar to "Log Injection-Tampering-Forging" except that in this case, the attack is targeting the logs of the web server and not the application.
  • Command Delimiters
    An attack of this type exploits a programs' vulnerabilities that allows an attacker's commands to be concatenated onto a legitimate command with the intent of targeting other resources such as the file system or database. The system that uses a filter or a blacklist input validation, as opposed to whitelist validation is vulnerable to an attacker who predicts delimiters (or combinations of delimiters) not present in the filter or blacklist. As with other injection attacks, the attacker uses the command delimiter payload as an entry point to tunnel through the application and activate additional attacks through SQL queries, shell commands, network scanning, and so on.
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:M/Au:N/C:N/I:P/A:N
redhat via4
advisories
  • rhsa
    id RHSA-2019:1260
  • rhsa
    id RHSA-2019:2030
  • rhsa
    id RHSA-2019:3335
  • rhsa
    id RHSA-2019:3520
  • rhsa
    id RHSA-2019:3725
rpms
  • python27-python-0:2.7.16-4.el6
  • python27-python-0:2.7.16-4.el7
  • python27-python-debug-0:2.7.16-4.el6
  • python27-python-debug-0:2.7.16-4.el7
  • python27-python-debuginfo-0:2.7.16-4.el6
  • python27-python-debuginfo-0:2.7.16-4.el7
  • python27-python-devel-0:2.7.16-4.el6
  • python27-python-devel-0:2.7.16-4.el7
  • python27-python-jinja2-0:2.6-12.el6
  • python27-python-jinja2-0:2.6-15.el7
  • python27-python-libs-0:2.7.16-4.el6
  • python27-python-libs-0:2.7.16-4.el7
  • python27-python-test-0:2.7.16-4.el6
  • python27-python-test-0:2.7.16-4.el7
  • python27-python-tools-0:2.7.16-4.el6
  • python27-python-tools-0:2.7.16-4.el7
  • python27-tkinter-0:2.7.16-4.el6
  • python27-tkinter-0:2.7.16-4.el7
  • python-0:2.7.5-86.el7
  • python-debug-0:2.7.5-86.el7
  • python-debuginfo-0:2.7.5-86.el7
  • python-devel-0:2.7.5-86.el7
  • python-libs-0:2.7.5-86.el7
  • python-test-0:2.7.5-86.el7
  • python-tools-0:2.7.5-86.el7
  • tkinter-0:2.7.5-86.el7
  • Cython-debugsource-0:0.28.1-7.module+el8.1.0+3111+de3f2d8e
  • PyYAML-debugsource-0:3.12-16.module+el8.1.0+3111+de3f2d8e
  • babel-0:2.5.1-9.module+el8.1.0+3111+de3f2d8e
  • numpy-debugsource-1:1.14.2-13.module+el8.1.0+3323+7ac3e00f
  • python-coverage-debugsource-0:4.5.1-4.module+el8.1.0+3111+de3f2d8e
  • python-lxml-debugsource-0:4.2.3-3.module+el8.1.0+3111+de3f2d8e
  • python-nose-docs-0:1.3.7-30.module+el8.1.0+3111+de3f2d8e
  • python-psycopg2-debuginfo-0:2.7.5-7.module+el8.1.0+3111+de3f2d8e
  • python-psycopg2-debugsource-0:2.7.5-7.module+el8.1.0+3111+de3f2d8e
  • python-psycopg2-doc-0:2.7.5-7.module+el8.1.0+3111+de3f2d8e
  • python-pymongo-debuginfo-0:3.6.1-11.module+el8.1.0+3446+c3d52da3
  • python-pymongo-debugsource-0:3.6.1-11.module+el8.1.0+3446+c3d52da3
  • python-sqlalchemy-doc-0:1.3.2-1.module+el8.1.0+2994+98e054d6
  • python2-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-Cython-0:0.28.1-7.module+el8.1.0+3111+de3f2d8e
  • python2-Cython-debuginfo-0:0.28.1-7.module+el8.1.0+3111+de3f2d8e
  • python2-PyMySQL-0:0.8.0-10.module+el8.1.0+3111+de3f2d8e
  • python2-attrs-0:17.4.0-10.module+el8.1.0+3111+de3f2d8e
  • python2-babel-0:2.5.1-9.module+el8.1.0+3111+de3f2d8e
  • python2-backports-0:1.0-15.module+el8.1.0+3111+de3f2d8e
  • python2-backports-ssl_match_hostname-0:3.5.0.1-11.module+el8.1.0+3111+de3f2d8e
  • python2-bson-0:3.6.1-11.module+el8.1.0+3446+c3d52da3
  • python2-bson-debuginfo-0:3.6.1-11.module+el8.1.0+3446+c3d52da3
  • python2-chardet-0:3.0.4-10.module+el8.1.0+3111+de3f2d8e
  • python2-coverage-0:4.5.1-4.module+el8.1.0+3111+de3f2d8e
  • python2-coverage-debuginfo-0:4.5.1-4.module+el8.1.0+3111+de3f2d8e
  • python2-debug-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-debuginfo-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-debugsource-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-devel-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-dns-0:1.15.0-10.module+el8.1.0+3111+de3f2d8e
  • python2-docs-0:2.7.16-2.module+el8.1.0+3111+de3f2d8e
  • python2-docs-info-0:2.7.16-2.module+el8.1.0+3111+de3f2d8e
  • python2-docutils-0:0.14-12.module+el8.1.0+3111+de3f2d8e
  • python2-funcsigs-0:1.0.2-13.module+el8.1.0+3111+de3f2d8e
  • python2-idna-0:2.5-7.module+el8.1.0+3111+de3f2d8e
  • python2-ipaddress-0:1.0.18-6.module+el8.1.0+3111+de3f2d8e
  • python2-jinja2-0:2.10-8.module+el8.1.0+3111+de3f2d8e
  • python2-libs-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-lxml-0:4.2.3-3.module+el8.1.0+3111+de3f2d8e
  • python2-lxml-debuginfo-0:4.2.3-3.module+el8.1.0+3111+de3f2d8e
  • python2-markupsafe-0:0.23-19.module+el8.1.0+3111+de3f2d8e
  • python2-mock-0:2.0.0-13.module+el8.1.0+3111+de3f2d8e
  • python2-nose-0:1.3.7-30.module+el8.1.0+3111+de3f2d8e
  • python2-numpy-1:1.14.2-13.module+el8.1.0+3323+7ac3e00f
  • python2-numpy-debuginfo-1:1.14.2-13.module+el8.1.0+3323+7ac3e00f
  • python2-numpy-doc-1:1.14.2-13.module+el8.1.0+3323+7ac3e00f
  • python2-numpy-f2py-1:1.14.2-13.module+el8.1.0+3323+7ac3e00f
  • python2-pip-0:9.0.3-14.module+el8.1.0+3446+c3d52da3
  • python2-pip-wheel-0:9.0.3-14.module+el8.1.0+3446+c3d52da3
  • python2-pluggy-0:0.6.0-8.module+el8.1.0+3111+de3f2d8e
  • python2-psycopg2-0:2.7.5-7.module+el8.1.0+3111+de3f2d8e
  • python2-psycopg2-debug-0:2.7.5-7.module+el8.1.0+3111+de3f2d8e
  • python2-psycopg2-debug-debuginfo-0:2.7.5-7.module+el8.1.0+3111+de3f2d8e
  • python2-psycopg2-debuginfo-0:2.7.5-7.module+el8.1.0+3111+de3f2d8e
  • python2-psycopg2-tests-0:2.7.5-7.module+el8.1.0+3111+de3f2d8e
  • python2-py-0:1.5.3-6.module+el8.1.0+3111+de3f2d8e
  • python2-pygments-0:2.2.0-20.module+el8.1.0+3111+de3f2d8e
  • python2-pymongo-0:3.6.1-11.module+el8.1.0+3446+c3d52da3
  • python2-pymongo-debuginfo-0:3.6.1-11.module+el8.1.0+3446+c3d52da3
  • python2-pymongo-gridfs-0:3.6.1-11.module+el8.1.0+3446+c3d52da3
  • python2-pysocks-0:1.6.8-6.module+el8.1.0+3111+de3f2d8e
  • python2-pytest-0:3.4.2-13.module+el8.1.0+3111+de3f2d8e
  • python2-pytest-mock-0:1.9.0-4.module+el8.1.0+3111+de3f2d8e
  • python2-pytz-0:2017.2-12.module+el8.1.0+3111+de3f2d8e
  • python2-pyyaml-0:3.12-16.module+el8.1.0+3111+de3f2d8e
  • python2-pyyaml-debuginfo-0:3.12-16.module+el8.1.0+3111+de3f2d8e
  • python2-requests-0:2.20.0-2.module+el8.1.0+3111+de3f2d8e
  • python2-rpm-macros-0:3-38.module+el8.1.0+3111+de3f2d8e
  • python2-scipy-0:1.0.0-20.module+el8.1.0+3323+7ac3e00f
  • python2-scipy-debuginfo-0:1.0.0-20.module+el8.1.0+3323+7ac3e00f
  • python2-setuptools-0:39.0.1-11.module+el8.1.0+3446+c3d52da3
  • python2-setuptools-wheel-0:39.0.1-11.module+el8.1.0+3446+c3d52da3
  • python2-setuptools_scm-0:1.15.7-6.module+el8.1.0+3111+de3f2d8e
  • python2-six-0:1.11.0-5.module+el8.1.0+3111+de3f2d8e
  • python2-sqlalchemy-0:1.3.2-1.module+el8.1.0+2994+98e054d6
  • python2-test-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-tkinter-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-tools-0:2.7.16-12.module+el8.1.0+4148+33a50073
  • python2-urllib3-0:1.24.2-1.module+el8.1.0+3280+19512f10
  • python2-virtualenv-0:15.1.0-19.module+el8.1.0+3507+d69c168d
  • python2-wheel-1:0.31.1-2.module+el8.1.0+3725+aac5cd17
  • python2-wheel-wheel-1:0.31.1-2.module+el8.1.0+3725+aac5cd17
  • scipy-debugsource-0:1.0.0-20.module+el8.1.0+3323+7ac3e00f
  • platform-python-0:3.6.8-15.1.el8
  • platform-python-debug-0:3.6.8-15.1.el8
  • platform-python-devel-0:3.6.8-15.1.el8
  • python3-debuginfo-0:3.6.8-15.1.el8
  • python3-debugsource-0:3.6.8-15.1.el8
  • python3-idle-0:3.6.8-15.1.el8
  • python3-libs-0:3.6.8-15.1.el8
  • python3-test-0:3.6.8-15.1.el8
  • python3-tkinter-0:3.6.8-15.1.el8
  • rh-python36-python-0:3.6.9-2.el6
  • rh-python36-python-0:3.6.9-2.el7
  • rh-python36-python-debug-0:3.6.9-2.el6
  • rh-python36-python-debug-0:3.6.9-2.el7
  • rh-python36-python-debuginfo-0:3.6.9-2.el6
  • rh-python36-python-debuginfo-0:3.6.9-2.el7
  • rh-python36-python-devel-0:3.6.9-2.el6
  • rh-python36-python-devel-0:3.6.9-2.el7
  • rh-python36-python-libs-0:3.6.9-2.el6
  • rh-python36-python-libs-0:3.6.9-2.el7
  • rh-python36-python-test-0:3.6.9-2.el6
  • rh-python36-python-test-0:3.6.9-2.el7
  • rh-python36-python-tkinter-0:3.6.9-2.el6
  • rh-python36-python-tkinter-0:3.6.9-2.el7
  • rh-python36-python-tools-0:3.6.9-2.el6
  • rh-python36-python-tools-0:3.6.9-2.el7
  • python-0:2.7.5-74.el7_5
  • python-debug-0:2.7.5-74.el7_5
  • python-debuginfo-0:2.7.5-74.el7_5
  • python-devel-0:2.7.5-74.el7_5
  • python-libs-0:2.7.5-74.el7_5
  • python-test-0:2.7.5-74.el7_5
  • python-tools-0:2.7.5-74.el7_5
  • tkinter-0:2.7.5-74.el7_5
  • python-0:2.7.5-63.el7_4
  • python-debug-0:2.7.5-63.el7_4
  • python-debuginfo-0:2.7.5-63.el7_4
  • python-devel-0:2.7.5-63.el7_4
  • python-libs-0:2.7.5-63.el7_4
  • python-test-0:2.7.5-63.el7_4
  • python-tools-0:2.7.5-63.el7_4
  • tkinter-0:2.7.5-63.el7_4
  • python-0:2.7.5-83.el7_6
  • python-debug-0:2.7.5-83.el7_6
  • python-debuginfo-0:2.7.5-83.el7_6
  • python-devel-0:2.7.5-83.el7_6
  • python-libs-0:2.7.5-83.el7_6
  • python-test-0:2.7.5-83.el7_6
  • python-tools-0:2.7.5-83.el7_6
  • tkinter-0:2.7.5-83.el7_6
refmap via4
confirm https://security.netapp.com/advisory/ntap-20190404-0004/
fedora
  • FEDORA-2019-1ffd6b6064
  • FEDORA-2019-ec26883852
gentoo GLSA-202003-26
misc https://bugs.python.org/issue35906
mlist
  • [debian-lts-announce] 20190625 [SECURITY] [DLA 1834-1] python2.7 security update
  • [debian-lts-announce] 20190625 [SECURITY] [DLA 1835-1] python3.4 security update
  • [debian-lts-announce] 20190625 [SECURITY] [DLA 1835-2] python3.4 regression update
  • [debian-lts-announce] 20200715 [SECURITY] [DLA 2280-1] python3.5 security update
  • [debian-lts-announce] 20200822 [SECURITY] [DLA 2337-1] python2.7 security update
suse
  • openSUSE-SU-2019:2389
  • openSUSE-SU-2019:2393
  • openSUSE-SU-2020:0086
ubuntu
  • USN-4127-1
  • USN-4127-2
Last major update 16-08-2022 - 13:00
Published 23-03-2019 - 18:29
Last modified 16-08-2022 - 13:00
Back to Top