Új js2py sérülékenység, veszélyben többmillió Python felhasználó

Kritikus sérülékenységet találtak a js2py nevű, széles körben használt Python könyvtárban, amelyet havonta több mint 1 millióan töltenek le. A sérülékenység számtalan webscrapert és alkalmazást tesz távoli kódfuttatás (RCE) támadások könnyű célpontjává. A hibát a CVE-2024-28397 kódon lehet nyomon követni (CVSS érték: 8.8), és tetszőleges kódfuttatást tesz lehetővé.

A js2py a Python fejlesztők munkáját hivatott támogatni úgy, hogy a segítségével képesek legyenek zökkenőmentesen JavaScript kódot integrálni Python projektjeikbe. Népszerű választás web scraping eszközök esetében, mivel képes JavaScript kódot értelmezni és végrehajtani a weboldalakon belül.

A támadónak a sérülékenység kihasználásához rá kell vennie a felhasználót arra, hogy rosszindulatú JavaScript filet dolgozzon fel.  Ez több módon is lehetséges, például egy tört weboldallal, vagy megtévesztő API hívással. Amint a rosszindulatú szkript végrehajtásra kerül, a támadó hozzáférést szerez a rendszerhez, így bármilyen tetszőleges parancsot végrehajthat.

A sérülékenység az összes 0.74 előtti js2py verziót érinti, ami a 3.12 vagy annál régebbi verziójú Python alatt fut. Számos népszerű projekt (mint például a pyload, a cloudscraper vagy a lightnovel-crawler) használ js2py-t, így természetesen ezek is veszélyben vannak.

A hibának jelenleg még nincs fejlesztők által javított verziója, viszont ettől függetlenül ajánlott a js2py-ra hagyatkozó alkalmazásokat frissíteni.

(securityonline.info)