在 Python JSON Logger 包（python-json-logger）中，發(fā)現(xiàn)了一個(gè)嚴(yán)重影響版本 3.2.0 和 3.2.1 的重大漏洞，編號(hào)為 CVE-2025-27607。該漏洞因?qū)θ笔б蕾図?xiàng) “msgspec-python313-pre” 的濫用，導(dǎo)致了遠(yuǎn)程代碼執(zhí)行（RCE）風(fēng)險(xiǎn)。最近的一項(xiàng)實(shí)驗(yàn)揭示了惡意行為者能夠通過(guò)聲明和操縱這一缺失的依賴項(xiàng)來(lái)利用該漏洞，使得這一問(wèn)題引發(fā)了廣泛關(guān)注。

漏洞詳細(xì)信息

問(wèn)題源于 PyPi 中 “msgspec-python313-pre” 依賴項(xiàng)被刪除。這一刪除操作使得該依賴項(xiàng)名稱可供任何人隨意聲明，這就為惡意行為者創(chuàng)造了可乘之機(jī)，他們有可能發(fā)布同名的惡意軟件包。一旦惡意行為者聲明擁有該依賴項(xiàng)，在 Python 3.13 環(huán)境下使用 “pip install python-json-logger [dev]” 命令安裝 python-json-logger 開(kāi)發(fā)依賴項(xiàng)的用戶，就可能在毫不知情的情況下，下載并執(zhí)行惡意代碼。

該漏洞是由 @omnigodz 在研究供應(yīng)鏈攻擊時(shí)發(fā)現(xiàn)的。研究人員注意到，盡管 PyPi 中已不存在 “msgspec-python313-pre” 依賴項(xiàng)，但在 python-json-logger 版本 3.2.1 的 pyproject.toml 文件中，它仍被聲明存在。

受影響的版本

受此次漏洞影響的版本為 3.2.0 和 3.2.1。為了在不造成實(shí)際危害的前提下演示該漏洞，研究人員臨時(shí)發(fā)布了同名的非惡意軟件包，之后又將其刪除。這一操作使得該軟件包名稱與受信任的實(shí)體關(guān)聯(lián)起來(lái)，有效防止了潛在惡意行為者利用此漏洞。

影響與響應(yīng)

根據(jù)官方 PyPi BigQuery 數(shù)據(jù)庫(kù)數(shù)據(jù)，python-json-logger 包應(yīng)用廣泛，每月下載量超 4600 萬(wàn)次。盡管目前沒(méi)有證據(jù)表明該漏洞在公開(kāi)披露前已被利用，但其潛在影響不容小覷。一旦惡意行為者聲明擁有 “msgspec-python313-pre” 依賴項(xiàng)，所有安裝 python-json-logger 開(kāi)發(fā)依賴項(xiàng)的用戶都將面臨風(fēng)險(xiǎn)。

為解決這一問(wèn)題，python-json-logger 的維護(hù)人員迅速發(fā)布了 3.3.0 版本，該版本已移除了易受攻擊的依賴項(xiàng)。建議使用受影響版本的用戶盡快更新到最新版，以降低遭受 RCE 攻擊的風(fēng)險(xiǎn)。

此次事件凸顯了維護(hù)和確保軟件包依賴關(guān)系安全的重要性，同時(shí)也強(qiáng)調(diào)了在開(kāi)源生態(tài)系統(tǒng)中，對(duì)供應(yīng)鏈安全保持高度警惕的必要性。雖然這一特定漏洞已得到解決，但它提醒著開(kāi)發(fā)人員和用戶，要時(shí)刻關(guān)注潛在安全風(fēng)險(xiǎn)，并及時(shí)將軟件更新到最新版本。

參考及來(lái)源：https://gbhackers.com/over-43-million-python-installations-vulnerable/