CVE-2025-27607 Remote Code Execution Vulnerability in Python JSON Logger from NHairs

CVSS score: 8.8
Severity: High
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Mô tả
CVE-2025-27607 là lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến thư viện python-json-logger, một công cụ được sử dụng phổ biến để định dạng log ở dạng JSON trong các ứng dụng Python. Lỗ hổng này cho phép thực thi mã từ xa (RCE) khi người dùng cài đặt các phụ thuộc phát triển trên Python 3.13 thông qua tuỳ chọn [dev].

Chi tiết kỹ thuật

Nguyên nhân: Lỗ hổng phát sinh do phụ thuộc tuỳ chọn msgspec-python313-pre bị xóa khỏi PyPI, làm cho tên của gói này trở nên chưa được bảo vệ.
Khai thác: Nếu một kẻ tấn công chiếm đoạt tên gói này và phát hành một phiên bản độc hại, thì bất kỳ ai cài đặt python-json-logger với phụ thuộc phát triển trên Python 3.13 (thông qua pip install python-json-logger[dev]) sẽ nhận được mã độc.

Các phiên bản ảnh hưởng

Phiên bản bị ảnh hưởng: 3.2.0 và 3.2.1
Phiên bản vá lỗi: 3.3.0 (đã khắc phục)

Tác động

Remote Code Execution (RCE): Nếu một kẻ tấn công chiếm đoạt tên của phụ thuộc (dependency name) msgspec-python313-pre (đã bị xóa bởi chủ sở hữu), họ có thể tạo ra một phiên bản độc hại. Khi người dùng cài đặt python-json-logger với tuỳ chọn [dev] trên Python 3.13, phiên bản độc hại sẽ được cài đặt, cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống của họ.
Rủi ro chuỗi cung ứng: Với hơn 40 triệu lượt tải xuống mỗi tháng, lỗ hổng này có thể ảnh hưởng đến rất nhiều dự án và môi trường phát triển.

Biện pháp khắc phục

Nâng cấp: Cập nhật python-json-logger lên phiên bản 3.3.0 hoặc mới hơn để vá lỗ hổng.
Giảm thiểu rủi ro: Tránh cài đặt các phụ thuộc phát triển trong môi trường sản xuất (không sử dụng [dev]) nếu không cần thiết.
Giám sát chuỗi cung ứng: Theo dõi và kiểm tra các phụ thuộc bên ngoài, đặc biệt khi có sự thay đổi hoặc xóa bỏ từ phía nhà phát hành.

Tham khảo