یک آسیبپذیری با شناسه CVE-2024-23346 و شدت بحرانی 9.3 در Pymatgen (Python Materials Genomics) کشف شده است که امکان اجرای کد دلخواه هنگام تجزیه (parsing) ورودی نامعتبر در متد JonesFaithfulTransformation.from_transformation_str() را برای مهاجم فراهم میآورد. در این آسیبپذیری بهدلیل استفاده ناامن از تابع eval() ورودی نامعتبر مهاجم پردازش میشود و مهاجم میتواند کد مخرب خود را اجرا کند. با پردازش و پارس کردن یک فایل CIF مخرب میتوان از این آسیبپذیری بهرهبرداری کرد. علت این آسیبپذیری را میتوان در مسیر pymatgen/symmetry/settings.py دنبال کرد. Pymatgen (Python Materials Genomics) یک کتابخانه منبع باز برای تجزیه و تحلیل مواد در پایتون است.
محصولات تحت تأثیر
این آسیبپذیری محصولPymatgen (Python Materials Genomics) نسخه 2024.2.8 و قبلتر را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Pymatgen (Python Materials Genomics) به نسخه 2024.2.20 اقدام نمایند.
منبع خبر:
https://github.com/materialsproject/pymatgen/security/advisories/GHSA-vgv8-5cpj-qj2f
- 14