Tổng quan về lỗ hổng:
- Lỗ hổng ảnh hưởng đến hơn 43 triệu cài đặt Python liên quan đến thư viện
python-json-logger. Nó được theo dõi dưới mã CVE-2025-27607 và cho phép các cuộc tấn công thực thi mã từ xa (RCE). - Lỗ hổng này phát sinh từ một phụ thuộc không được đăng ký có tên
msgspec-python313-pre, đã bị xóa khỏi PyPI nhưng không được gỡ bỏ khỏi tệppyproject.tomlcủa góipython-json-logger.
Khả năng khai thác:
- Kẻ tấn công có thể khai thác lỗ hổng này bằng cách đăng tải một gói độc hại với cùng tên (
msgspec-python313-pre) trên PyPI. - Khi các nhà phát triển cài đặt
python-json-loggercùng với các phụ thuộc tùy chọn trong môi trường Python 3.13.x, gói độc hại sẽ được cài đặt tự động, có khả năng cho phép kẻ tấn công thực thi mã từ xa.
Các phiên bản bị ảnh hưởng:
- Lỗ hổng này ảnh hưởng đến các phiên bản 3.2.0 và 3.2.1 của gói
python-json-logger.
Giải pháp:
- Các nhà phát triển đã phát hành phiên bản đã sửa lỗi 3.3.0, loại bỏ phụ thuộc gây vấn đề.
- Người dùng được khuyến nghị cập nhật lên phiên bản 3.3.0 hoặc mới hơn để giảm thiểu lỗ hổng này.
Lỗ hổng này nhấn mạnh tầm quan trọng của việc quản lý phụ thuộc trong chuỗi cung ứng phần mềm và cần có sự giám sát và cập nhật liên tục để ngăn chặn các cuộc tấn công như vậy.
