SK-CERT Bezpečnostné varovanie V20250602-01

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.4

Identifikátor

programovací jazyk Python – kritická bezpečnostná zraniteľnosť

Popis

Vývojári programovacieho jazyka Python vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-4517 sa nachádza v module Tarfile, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód, získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby. Bezpečnostná zraniteľnosť zasahuje systémy s hodnotami extračného filtra nastavenými na: filter="data" alebo filter="tar". Od verzie Python 3.14 je predvolená hodnota filtra nastavená na "data". Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom a vykonať neoprávnené zmeny v systéme.

Dátum prvého zverejnenia varovania

3.6.2025

CVE

CVE-2025-4517, CVE-2025-4330, CVE-2025-4138, CVE-2024-12718

IOC

–

Zasiahnuté systémy

Python vo verzii staršej ako 3.9.23 Python vo verzii staršej ako 3.10.18 Python vo verzii staršej ako 3.11.13 Python vo verzii staršej ako 3.12.11 Python vo verzii staršej ako 3.13.4

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme

Odporúčania

Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú frameworky, knižnice, pluginy, SDK alebo moduly v zraniteľnej verzii. V prípade, že áno, bezodkladne zabezpečte aktualizáciu všetkých komponentov, od ktorých závisí vaša aplikácia, na aktuálne verzie bez známych bezpečnostných zraniteľností. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. V prípade, že aktualizácia systému nie je možná, odporúčame postupovať podľa pokynov uvedených na webovej adrese: https://gist.github.com/sethmlarson/52398e33eff261329a0180ac1d54f42f

Zdroje

https://mail.python.org/archives/list/[email protected]/thread/MAXIJJCUUMCL7ATZNDVEGGHUMQMUUKLG/ https://github.com/python/cpython/issues/135034 https://gist.github.com/sethmlarson/52398e33eff261329a0180ac1d54f42f https://nvd.nist.gov/vuln/detail/CVE-2025-4517

« Späť na zoznam