Python Setuptools: Schwachstelle ermöglicht RCE

Eine schwerwiegende Schwachstelle wurde in der Python-Bibliothek setuptools entdeckt, die zu Command Injection führen kann. Diese Schwachstelle wurde gestern in der GitHub Advisory Database veröffentlicht.

Betroffen sind alle Versionen von setuptools bis einschließlich Version 69.1.1. Die Schwachstelle im package_index-Modul ermöglicht Remote-Code-Ausführung über die Download-Funktionen der Bibliothek. Diese Funktionen, die zum Herunterladen von Paketen von benutzerdefinierten URLs oder von Paketindex-Servern verwendet werden, sind anfällig für Code Injection. Wenn diese Funktionen Benutzerkontrollierte Eingaben wie Paket-URLs verarbeiten, können beliebige Befehle auf dem System ausgeführt werden.

Die Schwachstelle wurde unter der CVE-Nummer CVE-2024-6345 registriert. Um diese Sicherheitslücke zu schließen, wurde sie in Version 70.0.0 von setuptools behoben. Die Entwickler von setuptools empfehlen dringend ein Update auf die gepatchte Version 70.0.0. Weitere Details und technische Informationen finden sich im NVD-Eintrag, im GitHub Commit zur Behebung und im Huntr-Bounty-Eintrag. Die National Vulnerability Database hat diese Schwachstelle veröffentlicht, und GitHub hat sie vor 17 Stunden überprüft. Der Schweregrad wurde als hoch eingestuft, mit einer Bewertung von 8.8 von 10.

Related Posts

AT&T zahlt 370.000 US-Dollar an Hacker nach gigantischem Datenleck

Am 14. Juli 2024 wurde nach Aussage der Zeitschrift Wired bekannt, dass der US-Telekommunikationsriese AT&T einem Hacker 370.000 US-Dollar zahlte, um gestohlene Anruf- und Textdaten von Millionen Kunden zu löschen. Diese Zahlung erfolgte im Mai, nachdem ein Mitglied der berüchtigten Hackergruppe ShinyHunters die Daten erbeutet hatte. Die verhandelten Daten betrafen ca. 70 Mio aktive und bereits inaktive Nutzeraccounts und umfassten nahezu alle Sprach und Textnachrichten seiner Mobilfunkkunden.

Read More

Kritische Sicherheitslücken in Pepperl+Fuchs Sensor Systemen

Am 10. Juli 2024 wurde eine kritische Sicherheitslücke (VDE-2024-038) in mehreren Produkten von Pepperl+Fuchs veröffentlicht. Die betroffenen Geräte der OIT Serie werden zur optischen Identifikation in Hochtemperatur Umgebungen eingesetzt und weisen Schwachstellen auf, die durch anonymen FTP-Server- und Telnet-Zugang verursacht werden.

Read More

Windows10/11: Remote Code Execution per Internet-Verknüpfungsdateien

Check Point Research hat eine neue Angriffsmethode entdeckt, bei der Bedrohungsakteure Zero-Day-Schwachstellen in Internet-Verknüpfungsdateien (.url) ausnutzen, um Windows-Nutzer zu täuschen und Remote-Code-Ausführung zu ermöglichen. Diese Methode nutzt den veralteten Internet Explorer (IE), um schädliche Inhalte auszuführen, obwohl moderne Windows 10/11-Systeme verwendet werden.

Read More