Eine schwerwiegende Schwachstelle wurde in der Python-Bibliothek setuptools entdeckt, die zu Command Injection führen kann. Diese Schwachstelle wurde gestern in der GitHub Advisory Database veröffentlicht.
Betroffen sind alle Versionen von setuptools bis einschließlich Version 69.1.1. Die Schwachstelle im package_index-Modul ermöglicht Remote-Code-Ausführung über die Download-Funktionen der Bibliothek. Diese Funktionen, die zum Herunterladen von Paketen von benutzerdefinierten URLs oder von Paketindex-Servern verwendet werden, sind anfällig für Code Injection. Wenn diese Funktionen Benutzerkontrollierte Eingaben wie Paket-URLs verarbeiten, können beliebige Befehle auf dem System ausgeführt werden.
Die Schwachstelle wurde unter der CVE-Nummer CVE-2024-6345 registriert. Um diese Sicherheitslücke zu schließen, wurde sie in Version 70.0.0 von setuptools behoben. Die Entwickler von setuptools empfehlen dringend ein Update auf die gepatchte Version 70.0.0. Weitere Details und technische Informationen finden sich im NVD-Eintrag, im GitHub Commit zur Behebung und im Huntr-Bounty-Eintrag. Die National Vulnerability Database hat diese Schwachstelle veröffentlicht, und GitHub hat sie vor 17 Stunden überprüft. Der Schweregrad wurde als hoch eingestuft, mit einer Bewertung von 8.8 von 10.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: