Vulnerabilitatea Python JSON Logger permite executarea de cod de la distanță

A fost identificată o vulnerabilitate în biblioteca python-json-logger utilizată pe scară largă, care poate permite atacatorilor să execute cod arbitrar pe sistemele afectate.

Vulnerabilitatea, urmărită ca CVE-2025-27607, prezintă un scor CvSS de 8.8/10 și un grad de severitate high. Aceasta provine dintr-o eroare cu o dependință lipsă și afectează versiunile 3.2.0 și 3.2.1 ale pachetului.

Specialistul ce a identificat vulnerabilitatea a precizat că pachetul python-json-logger a declarat o dependență numită msgspec-python313-preîn fișierul său pyproject.toml, dar această dependență nu era prezentă pe PyPI și nu era înregistrată de nicio entitate.

Atunci când utilizatorii instalează python-json-logger cu dependențele sale de dezvoltare utilizând comanda pip install python-json-logger[dev] în mediile Python 3.13, aceștia descarcă și execută involuntar pachetul malițios.

Pentru a demonstra vulnerabilitatea fără a provoca daune, specialistul a publicat temporar un pachet nemalițios sub același nume și apoi l-a șters, împiedicând în mod eficient exploatarea de către persoanele rău intenționate.

Pachetul python-json-logger este extrem de popular, cu peste 43 de milioane de descărcări lunare. Această utilizare pe scară largă amplifică semnificativ impactul potențial al vulnerabilității.

Problema a apărut deoarece, în ciuda faptului că dependența a fost eliminată din depozitul proiectului prin commit 1ce81a3 în urmă cu aproximativ o lună, modificările nu au fost niciodată împinse către o versiune nouă după 3.2.1, lăsând utilizatorii acelor versiuni vulnerabili.

Vulnerabilitatea a fost remediată în versiunea 3.3.0, pe care utilizatorii ar trebui să o actualizeze imediat. În plus, administratorii PyPI au luat măsuri pentru a bloca numele pachetului lipsă, împiedicându-l să fie revendicat de atacatori.

Sursă: https://cybersecuritynews.com/python-json-logger-vulnerability/