流行的 Python 日志库存在远程代码执行漏洞 (CVE-2025-27607)

用于生成 JSON 日志的流行 Python 库“python-json-logger”中发现了一个严重漏洞。此漏洞可能允许攻击者在安装该库的系统上执行任意代码。

该漏洞被标记为 CVE-2025-27607，CVSS 评分为 8.8，源于缺少名为“msgspec-python313-pre”的依赖项。此依赖项虽然是可选的，但并不存在于 PyPI 存储库中，因此很容易被利用。

攻击者可以将同名的恶意包（“msgspec-python313-pre”）发布到 PyPI。当开发人员安装带有可选依赖项的“python-json-logger”时，此恶意包将自动安装，从而可能授予攻击者远程代码执行能力。

影响

远程代码执行：攻击者可能完全控制受影响的系统。

数据泄露：敏感数据可能被攻击者访问和窃取。

系统破坏：攻击者可能会破坏受影响系统的正常运行。

受影响的用户

“python-json-logger”软件包每月的下载量超过 4300 万次，因此该漏洞对大量用户构成了重大威胁。任何在 Python 3.13.x 环境中安装带有可选依赖项的软件包的用户都可能面临风险。

补救措施

强烈建议使用“python-json-logger”的开发人员和组织更新到3.3.0或更高版本，其中包含必要的修复。

原文始发于微信公众号（TtTeam）：流行的 Python 日志库存在远程代码执行漏洞 (CVE-2025-27607)