用于生成 JSON 日志的流行 Python 库“python-json-logger”中发现了一个严重漏洞。此漏洞可能允许攻击者在安装该库的系统上执行任意代码。
该漏洞被标记为 CVE-2025-27607,CVSS 评分为 8.8,源于缺少名为“msgspec-python313-pre”的依赖项。此依赖项虽然是可选的,但并不存在于 PyPI 存储库中,因此很容易被利用。
攻击者可以将同名的恶意包(“msgspec-python313-pre”)发布到 PyPI。当开发人员安装带有可选依赖项的“python-json-logger”时,此恶意包将自动安装,从而可能授予攻击者远程代码执行能力。
影响:
- 远程代码执行:攻击者可能完全控制受影响的系统。
- 数据泄露:敏感数据可能被攻击者访问和窃取。
- 系统破坏:攻击者可能会破坏受影响系统的正常运行。
受影响的用户:
“python-json-logger”软件包每月的下载量超过 4300 万次,因此该漏洞对大量用户构成了重大威胁。任何在 Python 3.13.x 环境中安装带有可选依赖项的软件包的用户都可能面临风险。
补救措施:
强烈建议使用“python-json-logger”的开发人员和组织更新到3.3.0或更高版本,其中包含必要的修复。
https://github.com/nhairs/python-json-logger/security/advisories/GHSA-wmxh-pxcx-9w24
https://securityonline.info/popular-python-logging-library-vulnerable-to-remote-code-execution-cve-2025-27607/
