查看原文
其他

【已复现】pyLoad远程代码执行漏洞(CVE-2023-0297)安全风险通告

QAX CERT 奇安信 CERT 2023-01-30

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



pyLoad是一个用 Python 编写的免费和开源下载管理器,可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持 Python 编程语言的设备。

近日,奇安信CERT监测到pyLoad远程代码执行漏洞(CVE-2023-0297),pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。目前,此漏洞PoC已在互联网公开,奇安信CERT已复现此漏洞。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。


漏洞名称

pyLoad 远程代码执行漏洞

公开时间

2023-01-14

更新时间

2023-01-29

CVE编号

CVE-2023-0297

其他编号

QVD-2023-2209

CNNVD-202301-1121

威胁类型

代码执行

技术类型

代码注入

厂商

pyLoad

产品

pyLoad

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

已公开

未发现

已公开

漏洞描述

pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。

影响版本

pyLoad <= 0.4.20

另外,小于0.5.0b3.dev31版本的pyLoad开发版本也受此漏洞影响。

不受影响版本

pyLoad > 0.4.20(正式版本尚未发布)

另外,官方已更新pyLoad安全开发版本0.5.0b3.dev31可供下载。

其他受影响组件


奇安信CERT已成功复现pyLoad远程代码执行漏洞(CVE-2023-0297),截图如下:



威胁评估

漏洞名称

pyLoad远程代码执行漏洞

CVE编号

CVE-2023-0297

其他编号

QVD-2023-2209

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。



处置建议

1.版本升级

目前该漏洞已经在最新开发版本中修复,受影响用户可通过下载github发布的master分支构建程序:
https://github.com/pyLoad/pyLoad
也可通过PyPI直接安装最新版本:
pip install --pre pyload-ng


2.缓解措施

1) 在pyLoad中禁用pyimport功能。
在src/pyload/core/utils/misc.py文件中,
import js2py+js2py.disable_pyimport()
2)在业务允许的前提下,将系统部署在内网,减少外部暴露面。


产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对pyLoad 远程代码执行漏洞(CVE-2023-0297)的防护。


奇安信开源卫士已支持

奇安信开源卫士20230129.158版本已支持对pyLoad 远程代码执行漏洞(CVE-2023-0297) 的检测。


奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0129.13718或以上版本。规则ID及规则名称:0x10021483,pyLoad 远程代码执行漏洞(CVE-2023-0297)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7701,建议用户尽快升级检测规则库至2301291600以后版本并启用该检测规则。


参考资料

[1]https://github.com/pyLoad/pyLoad

[2]https://github.com/pyLoad/pyLoad/commit/7d73ba7919e594d783b3411d7ddb87885aea782d



时间线

2023年1月29日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存