Sebezhetőséget fedeztek fel a python-json-logger-ben, egy népszerű Python könyvtárban, amelyet JSON naplók generálására használnak. A python-json-logger csomagot havonta több mint 43 millióan töltik le, így ez a sebezhetőség nagyszámú felhasználó számára jelent jelentős fenyegetést. A CVE-2025-27607 néven nyomon követett, magas kockázati besorolású (CVSS 8.8 pontszám) sebezhetőség az msgspec-python313-pre nevű hiányzó függőségből ered. A sebezhetőség távoli kódfuttatást (RCE) tesz lehetővé azokon a rendszereken, ahol a könyvtár telepítve van.
A probléma abból keletkezett, hogy a msgspec-python313-pre függőséget eltávolították a PyPi-ből, így a neve bárki számára elérhetővé vált. Ez lehetőséget adhat a támadónak arra, hogy egy ugyanilyen nevű rosszindulatú csomagot tegyen közzé a PyPI-n. Amikor a fejlesztők telepítik a python-json-logger-t az opcionális függőségekkel, ez a rosszindulatú csomag automatikusan települne.
A sérülékenységet @omnigodz fedezte fel, aki supply chain támadások kutatása során észlelte, hogy bár a függőség nem volt jelen a PyPi-ben, mégis szerepelt a python-json-logger 3.2.1 verziójának pyproject.toml fájljában. A kutató a sérülékenység ártalmatlan demonstrálása érdekében ideiglenesen egy nem rosszindulatú csomagot publikált ugyanazon a néven, majd törölte azt, hogy megakadályozza a rosszindulatú szereplők általi kihasználást.
Érintett verziók:
- 2.0
- 2.1
Hatás:
Távoli kódvégrehajtás: A támadók potenciálisan átvehetik a teljes irányítást az érintett rendszerek felett.
Adatsértés: A támadók hozzáférhetnek érzékeny adatokhoz és ellophatják azokat.
Rendszerleállás: A támadók megzavarhatják az érintett rendszerek normális működését.
Érintett felhasználók:
Minden olyan felhasználó, aki a csomagot az opcionális függőségekkel együtt telepíti.
Javítás:
A python-json-logger-t használó fejlesztőknek és szervezeteknek erősen ajánlott frissíteniük a 3.3.0 vagy újabb verzióra, amely tartalmazza a szükséges javításokat.
