Ejecución remota de código a través de funciones de descarga en el módulo package_index en pypa/setuptools
Clasificación: Grave, Solución: Arreglo oficial, Madurez del exploit: Prueba de concepto, CVSSv3.1: 8.8, CVE: CVE-2024-6345, Resumen: Setuptools es una biblioteca que facilita el empaquetado, la distribución y la instalación de proyectos Python. El módulo package_index dentro de la biblioteca proporciona una forma conveniente de interactuar con los servidores de índice de paquetes, pero es vulnerable a la inyección de código a través de sus funciones de descarga. Estas funciones de descarga se utilizan en varias partes de la biblioteca setuptools, específicamente para descargar paquetes desde las URL proporcionadas en los servidores de índice de paquetes. Estas URL pueden ser proporcionadas por los usuarios o recuperadas automáticamente (por setuptools) desde las páginas HTML de un servidor de índice de paquetes como PyPi o uno personalizado.
Source link