CVE-2025-24359: ASTEVAL Kütüphanesinde Kritik Bir Güvenlik Açığı

ASTEVAL Kütüphanesinde Kritik Bir Güvenlik Açığı

CVE-2025-24359

CVE-2025-24359, Python ifadelerini ve ifadelerini değerlendirmek için tasarlanmış ASTEVAL kütüphanesinde bulunan önemli bir güvenlik açığıdır. 8,4'lük bir temel puanla yüksek bir öneme sahip olduğu belirlenen bu güvenlik açığı , saldırganların kütüphaneyi kullanan uygulamalar bağlamında keyfi Python kodu yürütmesine olanak tanır. Sorun, kütüphanedeki Soyut Sözdizimi Ağacı (AST) düğümlerinin uygunsuz şekilde işlenmesinden kaynaklanır. FormattedValue

Teknik Detaylar

Güvenlik Açığı Mekanizması

Güvenlik açığı, temel olarak ASTEVAL'in düğümleri işleme yönteminde kök salmıştır . Özellikle, işlev Python'un dize sınıfının potansiyel olarak tehlikeli yöntemini kullanır. Bu, bir saldırganın çağrıda kullanılan girdi dizesini değiştirmesine olanak tanır:FormattedValueon_formattedvalueformat


piton
fmt.format(__fstring__=val)

Bu girdiyi kontrol ederek, bir saldırgan kasıtlı olarak bir istisnayı tetikleyebilir . Bu istisnayı yakaladıktan sonra, uygulamadaki nesnelerin hassas veya korumalı özelliklerine yetkisiz erişim elde etmek için özniteliğini kullanabilirler .AttributeErrorobj

Etki ve Kullanım

ASTEVAL kütüphanesine hazırlanmış girdi sağlayabilen bir saldırgan, güvenlik kısıtlamalarını aşabilir ve bu da bir sandbox kaçışına yol açabilir . Bu, keyfi kod çalıştırabilecekleri, potansiyel olarak tüm uygulamayı tehlikeye atabilecekleri ve hassas verilere erişebilecekleri anlamına gelir.

Kavram Kanıtı

Bir saldırganın bu güvenlik açığından yararlanarak ana makinede olduğu gibi bir komutu yürütebileceği bir kavram kanıtı (PoC) gösterilmiştir . Bu, kusurun gerçek dünyadaki etkilerini vurgular ve kullanıcıların kitaplıklarını güncellemeleri için aciliyetin altını çizer.whoami

Azaltma

Bu güvenlik açığı, bu tür istismarı önlemek için yamalar içeren ASTEVAL'in 1.0.6 sürümünde giderildi . Kullanıcıların uygulamalarının bu güvenlik açığına karşı güvenli olduğundan emin olmak için bu sürüme veya daha sonraki bir sürüme yükseltmeleri şiddetle tavsiye edilir.

Örnek Senaryolar

Senaryo 1: Web Uygulaması Güvenlik Açığı
- Bir web uygulaması, kullanıcı tarafından gönderilen matematiksel ifadeleri değerlendirmek için ASTEVAL kullanır. Bir saldırgan, güvenlik açığını tetikleyen bir girdi oluşturur ve bu da sunucudan hassas dosyaları okuyabilen keyfi kod yürütmelerine olanak tanır.
Senaryo 2: API İstismarı
- Bir API uç noktası, kullanıcı girdisine dayalı dinamik sorguları işlemek için ASTEVAL'ı kullanır. Bir saldırgan, CVE-2025-24359'u istismar eden kötü amaçlı bir sorgu gönderir ve bu da veritabanı kayıtlarına yetkisiz erişime veya yönetim komutlarının yürütülmesine yol açar.
Senaryo 3: Sandbox Ortamının Atlatılması
- ASTEVAL'in güvenli bir şekilde komut dosyalarını yürütmek için kullanıldığı bir sanal ortamda, bir saldırgan giriş dizesini değiştirmeyi ve sanal alandan çıkmayı başararak sistem kaynaklarına tam erişim elde eder.

Çözüm

CVE-2025-24359, 1.0.6 sürümünden önceki ASTEVAL kitaplığına güvenen uygulamalar için kritik bir güvenlik riski oluşturmaktadır. Saldırganların keyfi kod yürütme yeteneği ciddi tehditler oluşturmakta ve geliştiricilerin ve sistem yöneticilerinin sistemlerini güncellemek ve bu güvenlik açığıyla ilişkili potansiyel riskleri azaltmak için derhal harekete geçmelerini gerektirmektedir.

Trending

🛡️ CVE-2025 Emlak Yazılımlarında Güvenlik Açıkları

Metasploit

Critical SQL Injection Vulnerability in UISP Application

Intel® Bug Bounty Program

CyberSpace CTF 2024- Cuma, 30 Ağustos 2024

MiVoice Office 400 SMB Controllerdaki Yeni Güvenlik Açıklıkları

Securinets CTF Elemeleri 2024 -12 Ekim 2024 Cmt