Otè a nan mitmproxy, yon zouti pou analize HTTP / HTTPS trafik, te atire atansyon sou aparans nan yon fouchèt nan pwojè li a nan PyPI (Python Package Index) anyè pakè Python. Fouchèt la te distribye anba non menm jan an mitmproxy2 ak vèsyon an ki pa-inexistant 8.0.1 (aktyèl lage mitmproxy 7.0.4) ak atann ke itilizatè inatantif ta wè pake a kòm yon nouvo edisyon nan pwojè prensipal la (typesquatting) epi yo ta vle. eseye nouvo vèsyon an.
Nan konpozisyon li yo, mitmproxy2 te menm jan ak mitmproxy, ak eksepsyon de chanjman ak aplikasyon an nan fonksyonalite move. Chanjman yo te fèt nan sispann mete HTTP header "X-Frame-Opsyon: DENY", ki entèdi pwosesis la nan kontni andedan iframe a, enfim pwoteksyon kont atak XSRF ak mete tèt yo "Access-Control-Allow-Origin: *", "Aksè-Kontwòl- Pèmèt-Tèt: *" ak "Aksè-Kontwòl-Pèmèt-Metòd: POST, GET, DELETE, OPTIONS".
Chanjman sa yo te retire restriksyon sou aksè a HTTP API yo te itilize pou jere mitmproxy atravè koòdone Web la, ki te pèmèt nenpòt atakè ki sitiye sou menm rezo lokal la pou òganize ekzekisyon kòd yo sou sistèm itilizatè a lè yo voye yon demann HTTP.
Administrasyon anyè a te dakò ke chanjman yo te fè yo ta ka entèprete kòm move, ak pake a tèt li kòm yon tantativ ankouraje yon lòt pwodwi anba laparans nan pwojè prensipal la (deskripsyon an nan pake a deklare ke sa a se te yon nouvo vèsyon nan mitmproxy, pa yon fouchèt). Apre yo fin retire pake a nan katalòg la, jou kap vini an yon nouvo pake, mitmproxy-iframe, te afiche nan PyPI, deskripsyon an ki tou konplètman matche ak pake ofisyèl la. Pake mitmproxy-iframe la te retire tou kounye a nan anyè PyPI a.
Sous: opennet.ru