js2py是一个广泛使用的 Python 库,每月下载量超过 100 万次,该库中存在一个严重漏洞,导致无数网络抓取工具和应用程序面临远程代码执行 (RCE) 攻击。该漏洞编号为CVE-2024-28397,CVSS 评分高达8.8,恶意行为者可借此突破 JavaScript 沙盒并在底层系统上运行任意命令。
CVE-2024-28397
js2py 允许 Python 开发人员将 JavaScript 代码无缝集成到他们的项目中。由于它能够在网页中解析和执行 JavaScript,因此它是网页抓取工具的热门选择。然而,这一功能也成为了危险的攻击媒介。
攻击者可以通过受感染的网站或欺骗性 API 调用诱骗目标处理恶意 JavaScript 文件来利用此漏洞。一旦执行,恶意脚本就会获得对主机系统的访问权限,让攻击者可以自由运行他们想要的任何命令。
安全研究员 Marven11 于 2 月份发现了该漏洞,并负责任地向官方 js2py 存储库提交了补丁。然而,在项目维护人员沉默了四个月之后,Marven11 决定公开概念验证漏洞和修复程序。
该漏洞会影响在 Python 3.12 以下版本下运行的所有 js2py 版本(包括 0.74 版)。使用 js2py 的几个流行项目也面临风险,包括pyload、cloudscraper(使用 js2py 作为可选的 JavaScript 解释器)和lightnovel-crawler 。
在撰写本文时,js2py 维护人员尚未提供官方补丁。但是,用户可以使用fix.py脚本动态应用 Marven11 提供的修复程序,也可以使用patch.txt中的说明手动修补源代码。
鉴于此漏洞的严重性及其被广泛利用的可能性,强烈建议开发人员和管理员尽快更新或修补任何依赖 js2py 的应用程序。RCE 攻击的风险实在太高,不容忽视。
https://securityonline.info/cve-2024-28397-js2py-vulnerability-exposes-millions-of-python-users-to-rce/原文始发于微信公众号(Ots安全):CVE-2024-28397:js2py 漏洞使数百万 Python 用户面临 RCE 风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论