中危 pdm 中的木马 Lockfile (CVE-2023-45805)
CVE编号
CVE-2023-45805利用情况
暂无补丁情况
官方补丁披露时间
2023-10-21漏洞描述
PDM是一个支持最新PEP标准的Python包和依赖管理器。攻击者可以通过创建恶意的`pdm.lock`文件来注入项目,使内部人员或恶意的开源项目伪装成依赖于可信任的PyPI项目,但实际上安装了另一个项目。通过在pypi.org上上传文件`foo-2-2.tar.gz`,可以针对项目`foo`进行攻击。PyPI将把这个项目视为`foo-2`版本`2`,而PDM将把这个项目视为`foo`版本`2-2`。版本号必须`可解析为一个版本`,文件名必须是项目名称的前缀,但不需要与安装的版本匹配。`2-2`版本也不是符合PEP 440的有效规范版本。只有完全匹配项目名称(而不仅仅是前缀)才能解决此问题。使用PDM安装依赖项时,实际安装的可能与`pyproject.toml`中列出的不同(包括在安装时执行任意代码)。它也可以用于通过仅更改版本来进行降级攻击。这个问题已经在提交`6853e2642df`中得到解决,该提交已包含在`2.9.4`发布版本中。建议用户升级。此漏洞没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | frostming | pdm | * | From (including) 2.0.0 | Up to (excluding) 2.10.0 | ||||
| 运行在以下环境 | |||||||||
| 应用 | frostming | unearth | * | Up to (excluding) 0.11.2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | pdm | * | Up to (including) 2.2.1+ds1-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | pdm | * | Up to (including) 2.2.1+ds1-1 | |||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论