代码执行漏洞危及 Yamale Python 包——超200个项目受影响

在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞，攻击者可以随意利用该漏洞执行任意Python代码。

该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8)，涉及操作作为工具输入提供的架构文件，以绕过保护并实现代码执行。值得关注的是，问题存在于模式解析函数中，该函数允许对传入的任何输入进行求值和执行，从而导致一种情况，即架构中特殊制作的字符串可用来注入系统命令。

Yamale是一个Python包，它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。

JFrog安全首席技术官Asaf Karas在发给The Hacker News的一份电子邮件声明中说:“这种缺口给了攻击者可乘之机，他们输入架构文件来执行Python代码注入，从而使用Yamale进程的特权执行代码。”“我们建议对eval()的任何输入进行彻底的清理，最好是用任务所需的更具体的API替换eval() call。”

经过该次披露，该漏洞已在Yamale 3.0.8版本中得到纠正。

这是JFrog在Python包中发现的一系列安全问题中的最新发现。2021年6月，Vdoo在PyPi存储库中披露了typosquatted包，发现这些包下载并执行第三方加密器，如T-Rex、ubqminer或PhoenixMiner，用于在受影响的系统上采集以太坊和Ubiq。

随后，JFrog安全团队发现了另外8个恶意的Python库，这些库被下载了不少于3万次，可以用来在目标机器上执行远程代码，收集系统信息，窃取信用卡信息和自动保存在Chrome和Edge浏览器中的密码，甚至窃取不一致认证令牌。

“软件包存储库正成为供应链攻击的热门目标，npm、PyPI和RubyGems等流行存储库已经受到恶意软件攻击，”研究人员说。“有时，恶意软件包被允许上传到包存储库，这给了恶意行为者利用存储库传播病毒的机会，并对开发人员和管道中的CI/CD机发起攻击。”

消息来源：TheHackerNews，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc ” 并附上原文链接