Eelmisel kuul 2 miljonit korda alla laaditud Js1.2Py Pythoni paketil on haavatavus (CVE-2024-28397), mis võimaldab liivakasti isolatsioonist mööda minna ja käivitada süsteemis koodi spetsiaalselt vormindatud JavaScripti andmete töötlemisel. Seda haavatavust saab kasutada selliste programmide ründamiseks, mis kasutavad JavaScripti koodi käivitamiseks Js2Py-d. Parandus on praegu saadaval ainult paigana. Rünnaku võimaluse testimiseks on ette valmistatud ärakasutamise prototüüp.
Js2Py pakett rakendab JavaScripti interpreterit ja tõlkijat, mis võimaldab JavaScripti koodi käivitada isoleeritud keskkonnas. virtuaalmasin või tõlkida JavaScript Pythoni esituseks. Projekt on täielikult kirjutatud Pythonis ega kasuta kolmandate osapoolte JavaScripti mootoreid. Praktikas kasutatakse teeki erinevates veebiindekseerijates, allalaadimissüsteemides ja saidianalüsaatorites, mis toetavad JavaScripti koodi loodud sisu töötlemist.
Rakendused, mida haavatavus mõjutab, on muuhulgas Lightnovel Crawler (utiliit raamatute allalaadimiseks võrguteenustest ja nende salvestamiseks erinevates vormingutes võrguühenduseta lugemiseks), pilvekaaperi (automaatselt mööda Cloudflare CDN-is kasutatavatest robotikaitselehtedest) ja pyLoad (allalaadimishaldur, mis toetab JavaScriptis loodud lehtede töötlemist). Kui need rakendused töötlevad spetsiaalselt loodud JavaScripti sisu, võib ründaja käivitada süsteemi tasemel suvalise koodi.
Haavatavus esineb js2py sees oleva globaalse muutuja juurutamisel, mis võimaldab teil liivakastikeskkonnas töötavast JavaScripti koodist saada viite Pythoni objektile, hoolimata sellest, et Pythoni objektide importimise keelamiseks kutsusite välja js2py.disable_pyimport() meetodi. . Süsteemis suvalise koodi käivitamiseks saab ründaja kasutada haavatavust, et pääseda ligi Pythoni alamprotsessimooduli kaudu Popeni objektile. Tähelepanuväärne on, et haavatavuse kõrvaldamise muudatus saadeti Js2Py projekti XNUMX. märtsil, kuid kolm ja pool kuud seda ei aktsepteeritud.
Allikas: opennet.ru
