pyLoad远程代码执行漏洞 (CVE-2023-0297) 安全通告

pyLoad是一个用 Python 编写的免费和开源下载管理器，可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持 Python 编程语言的设备。

近日，奇安信CERT监测到pyLoad远程代码执行漏洞(CVE-2023-0297)，pyLoad 存在代码注入漏洞，未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。目前，此漏洞PoC已在互联网公开，奇安信CERT已复现此漏洞。鉴于此漏洞影响较大，建议客户尽快做好自查及防护。

(资料图片)

奇安信CERT已成功复现pyLoad远程代码执行漏洞(CVE-2023-0297)，截图如下：

威胁评估

处置建议

1.版本升级

目前该漏洞已经在最新开发版本中修复，受影响用户可通过下载github发布的master分支构建程序：

https://github.com/pyLoad/pyLoad

也可通过PyPI直接安装最新版本：

pipinstall--pre pyload-ng

2.缓解措施

1） 在pyLoad中禁用pyimport功能。

在src/pyload/core/utils/misc.py文件中，

import js2py+js2py.disable_pyimport()

2）在业务允许的前提下，将系统部署在内网，减少外部暴露面。

参考资料

[1]https://github.com/pyLoad/pyLoad

[2]https://github.com/pyLoad/pyLoad/commit/7d73ba7919e594d783b3411d7ddb87885aea782d

标签： 身份验证 下载管理器 参考资料