Python PyPI软件包库修复关键软件供应链缺陷

Python Package Index (PyPI) 的维护者上周发布了三个漏洞的修复程序，其中一个可能被滥用以实现任意代码执行并完全控制官方第三方软件存储库。

日本安全研究员 RyotaK发现并报告了这些安全漏洞，他过去曾披露过Homebrew Cask 存储库和 Cloudflare 的CDNJS 库中的关键漏洞。作为漏洞赏金计划的一部分，他总共获得了 3,000 美元。

三个漏洞列表如下——

• PyPI 上的旧文档删除漏洞 – 删除旧文档托管在 PyPI 上的部署工具的机制中的一个可利用漏洞，这将允许攻击者删除不受其控制的项目的文档。
• PyPI 上的角色删除漏洞 – 安全研究人员发现了删除 PyPI 上角色的机制中的一个可利用漏洞，该漏洞将允许攻击者删除不受其控制的项目的角色。
• PyPI 的 GitHub 操作工作流中的漏洞 – PyPI 源存储库的 GitHub 操作工作流中的一个可利用漏洞可能允许攻击者获得对 pypa/warehouse 存储库的写入权限。

成功利用这些缺陷可能会导致任意删除项目文档文件，这与用于删除遗留文档的 API 端点如何处理作为输入传递的项目名称有关，并允许任何用户在给定有效角色 ID 的情况下删除任何角色需要当前项目与角色关联的项目匹配的缺失检查。

一个更严重的缺陷涉及 PyPI 源存储库“combine-prs.yml”的 GitHub 操作工作流程中的一个问题，导致攻击者可以获得对“pypa/warehouse”存储库主分支的写权限，以及在这个过程中在 pypi.org 上执行恶意代码。

“本文中描述的漏洞对 Python 生态系统产生了重大影响，”RyotaK 指出。“正如我之前多次提到的，一些供应链存在严重漏洞。但是，研究供应链攻击的人数有限，大多数供应链没有得到适当的保护。因此，我认为对于依赖的用户来说是必要的在供应链上积极为提高供应链的安全性做出贡献。”