您的位置:首页 >科技 >

pyLoad远程代码执行漏洞 (CVE-2023-0297) 安全通告

2023-01-30 15:03:06    来源:互联网

pyLoad是一个用 Python 编写的免费和开源下载管理器,可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持 Python 编程语言的设备。

近日,奇安信CERT监测到pyLoad远程代码执行漏洞(CVE-2023-0297),pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。目前,此漏洞PoC已在互联网公开,奇安信CERT已复现此漏洞。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。


(资料图片)

漏洞名称

pyLoad 远程代码执行漏洞

公开时间

2023-01-14

更新时间

2023-01-29

CVE编号

CVE-2023-0297

其他编号

QVD-2023-2209

CNNVD-202301-1121

威胁类型

代码执行

技术类型

代码注入

厂商

pyLoad

产品

pyLoad

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

已公开

未发现

已公开

漏洞描述

pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。

影响版本

pyLoad <= 0.4.20

另外,小于0.5.0b3.dev31版本的pyLoad开发版本也受此漏洞影响。

不受影响版本

pyLoad > 0.4.20(正式版本尚未发布)

另外,官方已更新pyLoad安全开发版本0.5.0b3.dev31可供下载。

其他受影响组件

奇安信CERT已成功复现pyLoad远程代码执行漏洞(CVE-2023-0297),截图如下:

威胁评估

漏洞名称

pyLoad远程代码执行漏洞

CVE编号

CVE-2023-0297

其他编号

QVD-2023-2209

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。

处置建议

1.版本升级

目前该漏洞已经在最新开发版本中修复,受影响用户可通过下载github发布的master分支构建程序:

https://github.com/pyLoad/pyLoad

也可通过PyPI直接安装最新版本:

pipinstall--pre pyload-ng

2.缓解措施

1) 在pyLoad中禁用pyimport功能。

在src/pyload/core/utils/misc.py文件中,

import js2py+js2py.disable_pyimport()

2)在业务允许的前提下,将系统部署在内网,减少外部暴露面。

参考资料

[1]https://github.com/pyLoad/pyLoad

[2]https://github.com/pyLoad/pyLoad/commit/7d73ba7919e594d783b3411d7ddb87885aea782d

标签: 身份验证 下载管理器 参考资料

相关阅读