Python软件包Yamale爆代码执行漏洞，超200个项目受影响

23andMe 的 Yamale（一种 YAML 架构和验证器）中披露了一个高严重性代码注入漏洞，攻击者可以利用该漏洞执行任意 Python 代码。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，该漏洞被跟踪为CVE-2021-38305（CVSS 分数：7.8），涉及操纵作为工具输入提供的架构文件以规避保护并实现代码执行。特别是，问题在于模式解析函数，它允许评估和执行传递的任何输入，导致模式中特制的字符串可能被滥用以注入系统命令。

Yamale 是一个 Python 包，它允许开发人员从命令行验证 YAML（一种通常用于编写配置文件的数据序列化语言）。该软件包被GitHub 上至少224 个存储库使用。

JFrog Security 首席技术官 Asaf Karas 在给 The Hacker News 的电子邮件声明中说：“这个漏洞允许攻击者提供输入模式文件来执行 Python 代码注入，从而导致使用 Yamale 进程的特权执行代码。” “我们建议对任何进入eval() 的输入进行广泛的清理，最好是用您的任务所需的更具体的 API 替换 eval() 调用。”

经过负责任的披露，该问题已在Yamale 版本 3.0.8 中得到纠正。“此版本修复了一个错误，即格式良好的模式文件可以在运行 Yamale 的系统上执行任意代码，” Yamale 的维护人员在 8 月 4 日发布的发行说明中指出。

这些发现是 JFrog 在 Python 包中发现的一系列安全问题中的最新一个。2021 年 6 月，Vdoo在 PyPi 存储库中披露了盗用包，发现这些包会下载和执行第三方加密矿工，例如 T-Rex、ubqminer 或 PhoenixMiner，以便在受感染的系统上挖掘以太坊和 Ubiq。

随后，JFrog 安全团队发现了另外8 个恶意 Python 库，下载次数不少于 30,000 次，可以利用这些库在目标机器上执行远程代码、收集系统信息、虹吸信用卡信息和自动保存的密码。 Chrome 和 Edge 浏览器，甚至窃取 Discord 身份验证令牌。

软件包存储库正在成为供应链攻击的热门目标，并且已经有针对npm、PyPI 和RubyGems等流行存储库的恶意软件攻击。有时允许将恶意软件包上传到包存储库，让恶意行为者有机会使用存储库分发病毒，并对管道中的开发人员和 CI/CD 机器发起成功的攻击。