超 4300 万 Python 设有代码执行漏洞隐患

在 Python JSON Logger 包（python-json-logger）在中间，发现了一个严重影响版本。 3.2.0 和 3.2.1 重大漏洞，编号为 CVE-2025-27607。由于缺失依赖项，漏洞 " msgspec-python313-pre " 随意使用，导致远程代码执行（RCE）风险。最近的一个实验揭示了恶意行为者可以利用这个漏洞来声明和操纵这个缺失的依赖，这引起了这个问题的极大关注。

详细的漏洞信息

问题源于 PyPi 中 " msgspec-python313-pre " 依赖项被删除。这个删除操作让任何人都可以随意声明依赖项名，这为恶意行为者创造了机会，他们可能会发布同名恶意程序包。如果恶意行为者声明有这个依赖项， Python 3.13 环境下使用 " pip install python-json-logger [ dev ] " 指令安装 python-json-logger 开发依赖项目的用户，可以在不知情的情况下下载并执行恶意程序。

该漏洞是由 @omnigodz 这是在研究供应链攻击时发现的。研究人员注意到，尽管 PyPi 中已不会有 " msgspec-python313-pre " 依赖项，但现在 python-json-logger 版本 3.2.1 的 pyproject.toml 在文件中，它仍然被声明存在。

版本受到影响

受此漏洞影响的版本是？ 3.2.0 和 3.2.1。为了在不造成实际伤害的情况下演示漏洞，研究人员临时发布了同名的非恶意程序包，然后删除。这种操作使程序包的名称与可靠的实体相关联，有效防止了潜在恶意行为人员利用这一漏洞。

影响与响应

根据官方 PyPi BigQuery 数据库数据，python-json-logger 包包用途广泛，每月下载量超过 4600 万次。虽然目前还没有证据表明该漏洞已经在公开披露之前得到了应用，但其潜在影响不容小觑。恶意行为者一旦声明拥有 " msgspec-python313-pre " 依赖于项目，全部安装 python-json-logger 开发依赖项目的用户将面临风险。

为了解决这个问题，python-json-logger 维修人员迅速发布 3.3.0 版本，这个版本已经删除了容易受到攻击的依赖项。建议使用受影响版的客户尽快升级到最新版本，以减少受影响的客户 RCE 攻击风险。

此次事件突出了维护和保证程序包依赖关系的安全防范措施，也强调了在开源生态系统中对供应链安全保持高度警惕的重要性。虽然这个特定的漏洞已经解决了，但它提醒开发者和用户要时刻关注潜在的安全隐患，并及时将软件更新到最新版本。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com