【已复现】pyLoad远程代码执行漏洞(CVE-2023-0297)安全风险通告
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
pyLoad是一个用 Python 编写的免费和开源下载管理器,可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持 Python 编程语言的设备。
近日,奇安信CERT监测到pyLoad远程代码执行漏洞(CVE-2023-0297),pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。目前,此漏洞PoC已在互联网公开,奇安信CERT已复现此漏洞。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
漏洞名称 | pyLoad 远程代码执行漏洞 | ||
公开时间 | 2023-01-14 | 更新时间 | 2023-01-29 |
CVE编号 | CVE-2023-0297 | 其他编号 | QVD-2023-2209 CNNVD-202301-1121 |
威胁类型 | 代码执行 | 技术类型 | 代码注入 |
厂商 | pyLoad | 产品 | pyLoad |
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
已公开 | 已公开 | 未发现 | 已公开 |
漏洞描述 | pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。 | ||
影响版本 | pyLoad <= 0.4.20 另外,小于0.5.0b3.dev31版本的pyLoad开发版本也受此漏洞影响。 | ||
不受影响版本 | pyLoad > 0.4.20(正式版本尚未发布) 另外,官方已更新pyLoad安全开发版本0.5.0b3.dev31可供下载。 | ||
其他受影响组件 | 无 |
威胁评估
漏洞名称 | pyLoad远程代码执行漏洞 | ||
CVE编号 | CVE-2023-0297 | 其他编号 | QVD-2023-2209 |
CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 9.8 |
CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | |
网络 | 低 | ||
所需权限(PR) | 用户交互(UI) | ||
无 | 不需要 | ||
影响范围(S) | 机密性影响(C) | ||
不改变 | 高 | ||
完整性影响(I) | 可用性影响(A) | ||
高 | 高 | ||
危害描述 | 未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。 |
处置建议
1.版本升级
pip install --pre pyload-ng2.缓解措施
import js2py+js2py.disable_pyimport()产品解决方案
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对pyLoad 远程代码执行漏洞(CVE-2023-0297)的防护。
奇安信开源卫士已支持
奇安信开源卫士20230129.158版本已支持对pyLoad 远程代码执行漏洞(CVE-2023-0297) 的检测。
奇安信天眼检测方案
奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0129.13718或以上版本。规则ID及规则名称:0x10021483,pyLoad 远程代码执行漏洞(CVE-2023-0297)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7701,建议用户尽快升级检测规则库至2301291600以后版本并启用该检测规则。
参考资料
[1]https://github.com/pyLoad/pyLoad
[2]https://github.com/pyLoad/pyLoad/commit/7d73ba7919e594d783b3411d7ddb87885aea782d
时间线
2023年1月29日,奇安信 CERT发布安全风险通告。
到奇安信NOX-安全监测平台查询更多漏洞详情