Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Error de ejecución de código que afecta el paquete Yamale Python

Error de ejecución de código que afecta el paquete Yamale Python

por Dragora

Se ha revelado una vulnerabilidad de inyección de código de alta gravedad en Yamale de 23andMe, un esquema y validador para YAML, que los adversarios podrían aprovechar trivialmente para ejecutar código Python arbitrario.

La falla, rastreada como CVE-2021-38305 (puntaje CVSS: 7.8), implica manipular el archivo de esquema proporcionado como entrada a la herramienta para eludir las protecciones y lograr la ejecución del código. En particular, el problema reside en la función de análisis del esquema, que permite evaluar y ejecutar cualquier entrada pasada, lo que da como resultado un escenario en el que se puede abusar de una cadena especialmente diseñada dentro del esquema para la inyección de comandos del sistema.

Yamale es un paquete de Python que permite a los desarrolladores validar YAML, un lenguaje de serialización de datos que se usa a menudo para escribir archivos de configuración, desde la línea de comandos. El paquete lo utilizan al menos 224 repositorios en GitHub.

«Esta brecha permite a los atacantes que pueden proporcionar un archivo de esquema de entrada realizar la inyección de código Python que conduce a la ejecución del código con los privilegios del proceso Yamale«, dijo el CTO de seguridad de JFrog, Asaf Karas, en un comunicado enviado por correo electrónico a The Hacker News. «Recomendamos desinfectar cualquier entrada que vaya a eval () extensamente y, preferiblemente, reemplazar las llamadas a eval () con API más específicas necesarias para su tarea».

Tras la divulgación responsable, el problema se ha corregido en la versión 3.0.8 de Yamale . «Esta versión corrige un error en el que un archivo de esquema bien formado puede ejecutar código arbitrario en el sistema que ejecuta Yamale«, señalaron los mantenedores de Yamale en las notas de la versión publicadas el 4 de agosto.

Los hallazgos son los últimos de una serie de problemas de seguridad descubiertos por JFrog en los paquetes de Python. En junio de 2021, Vdoo reveló paquetes con errores tipográficos en el repositorio de PyPi que se descubrió que descargaban y ejecutaban criptomineros de terceros como T-Rex, ubqminer o PhoenixMiner para extraer Ethereum y Ubiq en sistemas comprometidos.

Posteriormente, el equipo de seguridad de JFrog descubrió ocho bibliotecas de Python maliciosas más, que se descargaron no menos de 30.000 veces, que podrían haberse aprovechado para ejecutar código remoto en la máquina de destino, recopilar información del sistema, desviar información de tarjetas de crédito y contraseñas guardadas automáticamente en Navegadores Chrome y Edge, e incluso robar tokens de autenticación de Discord.

«Los repositorios de paquetes de software se están convirtiendo en un objetivo popular para los ataques a la cadena de suministro y ha habido ataques de malware en repositorios populares como npm , PyPI y RubyGems «, dijeron los investigadores. «A veces, se permite que los paquetes de malware se carguen en el repositorio de paquetes, lo que brinda a los actores malintencionados la oportunidad de usar repositorios para distribuir virus y lanzar ataques exitosos tanto en el desarrollador como en las máquinas CI / CD en proceso».

 

Fuente: www.thehackernews.com

You may also like

Dejar Comentario

Click to listen highlighted text!