CVE-2025-22153: RestrictedPython'da Kritik Bir Güvenlik Açığı

RestrictedPython'da Kritik Bir Güvenlik Açığı

CVE-2025-22153

CVE-2025-22153, güvenilmeyen Python kodunu yürütmek için kontrollü bir ortam yaratmak üzere tasarlanmış RestrictedPython kitaplığını etkileyen önemli bir güvenlik açığıdır. Bu güvenlik açığı, özellikle 3.11'den 3.13.2'ye kadar olan sürümlerde, saldırganların maddeleri kullanırken RestrictedPython'un güvenlik önlemlerini atlatmalarına olanak tanıyan CPython yorumlayıcısındaki bir tür karışıklığı hatasından kaynaklanmaktadır. Güvenlik açığına, yüksek bir önem seviyesini gösteren 7.9 CVSS puanı atandı ve 23 Ocak 2025'te yayınlandı .try/except*

RestrictedPython'un Arka Planı

RestrictedPython, Python dilindeki belirli işlevlere erişimi kısıtlayarak potansiyel olarak zararlı kodun güvenli bir şekilde yürütülmesini sağlayan bir Python kütüphanesidir. Genellikle web uygulamaları ve korumalı ortamlar gibi güvenliğin kritik olduğu uygulamalarda kullanılır. Ancak söz konusu güvenlik açığı, amaçlanan güvenlik özelliklerini tehlikeye atarak hassas işlemlere veya verilere yetkisiz erişime izin verebilir.

Güvenlik Açığı Ayrıntıları

CVE-2025-22153'ün temel sorunu, CPython yorumlayıcısının istisnaları maddelerle işleme biçiminden kaynaklanmaktadır . Bu kusur, kütüphane tarafından kısıtlanması gereken işlevlere yetkisiz erişime yol açabilir:try/except*

Tür Karmaşası : Bu güvenlik açığı, saldırganın güvenlik kontrollerini aşabilecek şekilde türleri değiştirmesine olanak tanır.
Sonuçlar : Bu durum istismar edilirse, güvenlik için RestrictedPython'a dayanan bir uygulama içerisinde yetkisiz eylemlerin gerçekleştirilmesine yol açabilir.

Etki Senaryoları

Web Uygulaması Açığı : Bir saldırgan, kullanıcı girdisini yürütmek için RestrictedPython kullanan bir web arayüzü aracılığıyla kötü amaçlı kod gönderebilir. Bu kod maddeler içeriyorsa , kısıtlı işlemlere erişim elde etmek için bu güvenlik açığından yararlanabilir ve bu da veri sızıntısına veya yetkisiz değişikliklere yol açabilir.try/except*
Sandbox Ortam İhlali : RestrictedPython'un üçüncü taraf betiklerini güvenli bir şekilde çalıştırmak için kullanıldığı ortamlarda, bir saldırgan bu güvenlik açığından yararlanmak üzere tasarlanmış bir betik hazırlayabilir ve potansiyel olarak erişimin yasak olması gereken hassas sistem kaynaklarına veya API'lere erişim sağlayabilir.

Azaltma ve Öneriler

Bu güvenlik açığı , maddelere yönelik desteği tamamen kaldıran RestrictedPython'un 8.0 sürümünde giderildi . Kullanıcılar ve geliştiricilerin bu sürüme veya daha sonraki sürüme yükseltmeleri şiddetle tavsiye edilir:try/except*


vuruş
pip install --upgrade restrictedpython

Geçici çözümler

Şu anda, RestrictedPython'un yamalı sürümüne yükseltme dışında etkili bir geçici çözüm bulunmamaktadır. Kullanıcılar, uygulamalarını bu güvenlik açığına maruz kalma açısından derhal değerlendirmeli ve buna göre işlem yapmalıdır.

Çözüm

CVE-2025-22153, CPython yorumlayıcısındaki tür karışıklığı yoluyla istismar edilme potansiyeli nedeniyle RestrictedPython kullanan uygulamalar için kritik bir risk teşkil eder. 8.0 sürümünde desteğin kaldırılması, uygulama bütünlüğünü ve güvenliğini korumak için gerekli bir adımdır. Yazılım geliştirme uygulamalarında bu tür güvenlik açıklarına karşı korunmak için düzenli güncellemeler ve dikkat esastır.try/except*

Trending

🛡️ CVE-2025 Emlak Yazılımlarında Güvenlik Açıkları

Metasploit

Critical SQL Injection Vulnerability in UISP Application

Intel® Bug Bounty Program

CyberSpace CTF 2024- Cuma, 30 Ağustos 2024

MiVoice Office 400 SMB Controllerdaki Yeni Güvenlik Açıklıkları

Securinets CTF Elemeleri 2024 -12 Ekim 2024 Cmt