3.2.0 ve 3.2.1 sürümlerini etkileyen Python Json Logger paketinde (Python-json-logger) önemli bir güvenlik açığı ortaya çıkmıştır.
Bu kusur, CVE-2025-27607, msgspec-python313-cre olarak bilinen eksik bir bağımlılığın kötüye kullanılması nedeniyle uzaktan kod yürütülmesine (RCE) izin verir.
Sorun, kötü niyetli aktörlerin eksik bağımlılığı iddia ederek ve manipüle ederek bu kırılganlığı nasıl kullanabileceğini gösteren son zamanlarda yapılan bir deney nedeniyle yaygın bir ilgi gördü.
Güvenlik Açığı Detayları
Sorun, MSGSPEC-Python313-cre bağımlılığı PYPI’dan silindiğinde ortaya çıktı.
Bu silme, herkesin talep etmesi için bağımlılık adını bırakarak, potansiyel olarak kötü niyetli aktörlerin aynı ada sahip bir paket yayınlamasına izin verdi.
Kötü niyetli bir aktör bağımlılığı talep edecek olsaydı, pipston-json-logger’ın geliştirme bağımlılıklarını Pip Install python-json-logger’ı kullanarak yükleyen kullanıcılar[dev] Python 3.13 bilmeden kötü amaçlı kod indirebilir ve yürütebilir.
Güvenlik açığı @OMNIGODZ tarafından tedarik zinciri saldırıları üzerine yapılan araştırmalar sırasında keşfedildi. Araştırmacı, bağımlılık PYPI’da mevcut olmasa da, hala Python-json-logger sürüm 3.2.1’in pyproject.toml dosyasında bildirildiğini belirledi.
Etkilenen sürümler
Güvenlik açığını zarar vermeden göstermek için, araştırmacı geçici olarak aynı isim altında kötü olmayan bir paket yayınladı ve sonra sildi.
Bu eylem, potansiyel kötü niyetli aktörlerin paket adının artık güvenilir bir varlık ile ilişkili olmasını sağlayarak güvenlik açığından yararlanmasını engelledi.
Etki ve Yanıt
Resmi PYPI BigQuery veritabanına göre, Python-Json-Logger paketi aylık 46 milyondan fazla indirme ile yaygın olarak kullanılmaktadır.
Güvenlik açığının kamuya açıklanmadan önce kullanıldığına dair bir kanıt olmamasına rağmen, potansiyel etki önemlidir.
Kötü niyetli bir aktör MSGSPEC-Python313-CRE bağımlılığını talep etmiş olsaydı, Python-json-logger’ın geliştirme bağımlılıklarını kuran herhangi bir kullanıcı risk altında olabilirdi.
Bu sorunu ele almak için, Python-Json-Logger’ın koruyucuları, artık savunmasız bağımlılığı içermeyen 3.3.0 sürümünü yayınladı.
Etkilenen sürümlerin kullanıcılarına RCE saldırıları riskini azaltmak için en kısa sürede en kısa sürede güncellemeleri önerilir.
Bu olay, yazılım paketlerinde bağımlılıkların korunmasının ve güvence altına alınmasının önemini vurgulamaktadır.
Ayrıca, açık kaynaklı ekosistemlerde tedarik zinciri güvenliğinde uyanıklık ihtiyacının altını çizmektedir.
Bu özel güvenlik açığı ele alınmış olsa da, geliştiricilerin ve kullanıcıların potansiyel güvenlik riskleri hakkında bilgilendirilmeleri ve yazılımlarını güncel tutmaları için bir hatırlatma görevi görür.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free