PyPI Python包存储库修补关键供应链缺陷

Python软件包索引（PyPI）的维护人员上周发布了三个漏洞的修复程序，其中一个漏洞可能被滥用以实现任意代码执行，并完全控制官方第三方软件库。

这些安全漏洞是由日本安全研究人员RyotaK发现并报告的，RyotaK过去曾披露了自制桶存储库和Cloudflare的CDNJS库中的关键漏洞。作为臭虫赏金计划的一部分，他总共获得了3000美元。

下面列出了三个漏洞-

• PyPI上的旧文档删除漏洞——PyPI上托管部署工具的旧文档删除机制中的一个可利用漏洞，使攻击者能够删除不受其控制的项目的文档。
• PyPI上的角色删除漏洞——安全研究人员发现PyPI上删除角色的机制中存在一个可利用的漏洞，该漏洞允许攻击者删除不受其控制的项目的角色。
• PyPI GitHub Actions工作流中的漏洞-PyPI源存储库GitHub Actions工作流中的一个可利用漏洞可使攻击者获得对pypa/仓库存储库的写入权限。

成功利用这些缺陷可能会导致任意删除项目文档文件，这与用于删除遗留文档的API端点如何处理作为输入传递的项目名称有关，并允许任何用户删除由于缺少需要当前项目与该角色关联的项目匹配的检查而给定有效角色ID的任何角色。

一个更严重的缺陷涉及PyPI源存储库“combine prs.yml”的GitHub Actions工作流中的一个问题，导致对手可以获得“pypa/warehouse”存储库主分支的写入权限，并在此过程中在PyPI上执行恶意代码。组织。

“本文中描述的漏洞对Python生态系统产生了重大影响，”RyotaK指出。“正如我之前多次提到的，一些供应链存在严重漏洞。然而，研究供应链攻击的人有限，而且大多数供应链都没有得到适当的保护。因此，我认为依赖供应链的用户有必要积极地为改善供应链的安全性做出贡献。”供应链。"