Kritikus sérülékenységet találtak a js2py nevű, széles körben használt Python könyvtárban, amelyet havonta több mint 1 millióan töltenek le. A sérülékenység számtalan webscrapert és alkalmazást tesz távoli kódfuttatás (RCE) támadások könnyű célpontjává. A hibát a CVE-2024-28397 kódon lehet nyomon követni (CVSS érték: 8.8), és tetszőleges kódfuttatást tesz lehetővé.
A js2py a Python fejlesztők munkáját hivatott támogatni úgy, hogy a segítségével képesek legyenek zökkenőmentesen JavaScript kódot integrálni Python projektjeikbe. Népszerű választás web scraping eszközök esetében, mivel képes JavaScript kódot értelmezni és végrehajtani a weboldalakon belül.
A támadónak a sérülékenység kihasználásához rá kell vennie a felhasználót arra, hogy rosszindulatú JavaScript filet dolgozzon fel. Ez több módon is lehetséges, például egy tört weboldallal, vagy megtévesztő API hívással. Amint a rosszindulatú szkript végrehajtásra kerül, a támadó hozzáférést szerez a rendszerhez, így bármilyen tetszőleges parancsot végrehajthat.
A sérülékenység az összes 0.74 előtti js2py verziót érinti, ami a 3.12 vagy annál régebbi verziójú Python alatt fut. Számos népszerű projekt (mint például a pyload, a cloudscraper vagy a lightnovel-crawler) használ js2py-t, így természetesen ezek is veszélyben vannak.
A hibának jelenleg még nincs fejlesztők által javított verziója, viszont ettől függetlenül ajánlott a js2py-ra hagyatkozó alkalmazásokat frissíteni.
