Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades de robo de contraseñas en el paquete PyPi, cuya versión disponible contenía un backdoor relacionado a una dependencia maliciosa denominada ‘request’ y permitirían a un atacante obtener acceso no autorizado y realizar ejecución remota de código (RCE).
Se componen de 3 (tres) vulnerabilidades, que actualmente se encuentran en proceso de análisis. Las mismas se detallan a continuación:
- CVE-2022-30877, sin puntuación asignada aún. Esta vulnerabilidad se debe a un problema en el paquete keep para Python, tal como se distribuye en PyPI, incluía una puerta trasera de ejecución de código insertada por un tercero, sin embargo, la versión actual ya se encuentra sin esta puerta trasera es la 1.2. Esto permite a un atacante obtener acceso no autorizado y realizar ejecución remota de código (RCE).
- CVE-2022-30882, sin puntuación asignada aún. Esta vulnerabilidad se debe a un problema en el paquete pyanxdns en PyPI versión 0.2 que es vulnerable a la puerta trasera de ejecución de código. Esto permitiría a un atacante obtener acceso no autorizado y realizar ejecución remota de código (RCE).
- CVE-2022-31313, sin puntuación asignada aún. Esta vulnerabilidad se debe a un problema en el paquete api-res-py en PyPI 0.1 que es vulnerable a una puerta trasera de ejecución de código en el paquete de solicitud. Esto permitiría a un atacante obtener acceso no autorizado y realizar ejecución remota de código (RCE).
Las versiones de los productos afectados en PyPi son:
- ‘keep’ versión 1.2
- ‘pyanxdns’ versión 0.2
- ‘api-res-py’ versión 0.1
Recomendamos actualizar los productos accediendo al siguiente enlace provisto por PyPi:
Referencias: