Рањивост откривена у језику за кодирање Питхон 2007. могла би се користити за извршавање кода у преко 350.000 пројеката.

Питхон недостатак је присутан већ петнаест година

Незакрпљена мана у Програмски језик Питхон сада представља озбиљну претњу стотинама хиљада пројеката. Рањивост, позната као ЦВЕ-2007-4559, откривена је пре петнаест година, али се сматрала ниским ризиком и стога није закрпљена (иако је програмерима издато упозорење о грешци).

Грешка ЦВЕ-2007-4559 постоји унутар функција „ектрацт“ и „ектрацталл“ у Питхон-овом тарфиле модулу. То је грешка у преласку путање, која омогућава злонамерним актерима да преписују произвољне датотеке отпремањем злонамерног тарфајла. Овај тар фајл се затим може извршити, дајући злонамерном актеру контролу над датим уређајем.

Преко 350.000 пројеката отвореног и затвореног кода који се протежу у низу индустрија могло би да се искористи путем произвољног преласка путање користећи рањивост ЦВЕ-2007-4559.

Питхон рањивост је поново откривена 2022

Ову конкретну Питхон рањивост је поново открио почетком 2022. истраживач рањивости Треллик-а Касимир Сцхулз, иако је то учињено случајно током истраге другог безбедносног проблема. Шулц је вратио ЦВЕ-2007-4559 у центар пажње, иако се прво мислило да је то потпуно нов

нулти дан мана. Али убрзо је откривено да је то, у ствари, дуготрајна Питхон мана откривена петнаест година раније.

Треллик је брзо направио твит којим је обавестио људе о грешци и њеној претњи пројектима заснованим на Питхон-у.

Након овог поновног открића, Треллик је направио закрпе за преко 11.000 пројеката, иако се сматра да ће још много пројеката добити закрпу у наредним недељама. Треллик је такође направио бесплатну алатку под називом Цреосоте, која се може користити за скенирање присуства рањивости ЦВЕ-2007-4559 тарфиле-а.

ЦВЕ-2007-4559 тек треба да се искоришћава

Иако ова мана језика Питхон-а представља значајну претњу хиљадама пројеката, изгледа да још увек није искоришћена. Истраживачи се надају да ће пројекти бити закрпљени пре него што злонамерни актери могу да искористе грешку, иако би то могло потребно је неко време, а лакоћа коришћења ЦВЕ-2007-4559 чини га потенцијално великим проблемом у ланцу снабдевања.

Рањивости и даље представљају претњу појединцима и организацијама

Истраживачи и аналитичари непрестано откривају безбедносне пропусте, а сајбер криминалци жељни да их искористе пре него што добију закрпу. Ово ће и даље бити проблем у свим индустријама и вероватно ће изазвати додатне проблеме у будућности. У случају ЦВЕ-2007-4559, Треллик жели да обезбеди пројекте са поправљеним кодом што је пре могуће, тако да злонамерни актери не би могли да злоупотребе ову грешку.