跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

代码执行漏洞危及 Yamale Python 包——超200个项目受影响


CHT丨情报收集

推荐的帖子

在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞,攻击者可以随意利用该漏洞执行任意Python代码。

该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8),涉及操作作为工具输入提供的架构文件,以绕过保护并实现代码执行。值得关注的是,问题存在于模式解析函数中,该函数允许对传入的任何输入进行求值和执行,从而导致一种情况,即架构中特殊制作的字符串可用来注入系统命令。

Yamale是一个Python包,它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。

JFrog安全首席技术官Asaf Karas在发给The Hacker News的一份电子邮件声明中说:“这种缺口给了攻击者可乘之机,他们输入架构文件来执行Python代码注入,从而使用Yamale进程的特权执行代码。”“我们建议对eval()的任何输入进行彻底的清理,最好是用任务所需的更具体的API替换eval() call。”

经过该次披露,该漏洞已在Yamale 3.0.8版本中得到纠正。

这是JFrog在Python包中发现的一系列安全问题中的最新发现。2021年6月,Vdoo在PyPi存储库中披露了typosquatted包,发现这些包下载并执行第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用于在受影响的系统上采集以太坊和Ubiq。

随后,JFrog安全团队发现了另外8个恶意的Python库,这些库被下载了不少于3万次,可以用来在目标机器上执行远程代码,收集系统信息,窃取信用卡信息和自动保存在Chrome和Edge浏览器中的密码,甚至窃取不一致认证令牌。

“软件包存储库正成为供应链攻击的热门目标,npm、PyPI和RubyGems等流行存储库已经受到恶意软件攻击,”研究人员说。“有时,恶意软件包被允许上传到包存储库,这给了恶意行为者利用存储库传播病毒的机会,并对开发人员和管道中的CI/CD机发起攻击。”

 

消息来源:TheHackerNews,译者:Zoeppo;

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc ” 并附上原文链接

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...