CVE-2024-28397

Versões do js2py anteriores à 0.74

Versões do python-Js2Py anteriores à 0.74-3.1 (openSUSE Tumbleweed)

Versões do pyload-ng iguais ou inferiores à 0.5.0b3.dev85 (quando utilizadas com Python 3.11 ou versões anteriores)

Existe uma falha de fuga da sandbox no componente js2py.disable pyimport() do js2py, permitindo que invasores executem código arbitrário por meio de uma chamada de API maliciosa. Essa vulnerabilidade, identificada como CVE-2024-28397, pode ser explorada enviando-se uma carga maliciosa de JavaScript para o aplicativo. A vulnerabilidade permite contornar as restrições da sandbox e executar comandos no sistema. O aplicativo pyload-ng, ao usar o js2py com Python 3.11 ou versões anteriores, está vulnerável por meio de seu endpoint de API /flash/addcrypted2. Um invasor pode contornar as restrições do localhost usando cabeçalhos HTTP para acessar esse endpoint e obter execução remota de código (RCE). Milhões de usuários de Python estão potencialmente afetados, já que o js2py é uma biblioteca amplamente utilizada, com mais de 1 milhão de downloads mensais.

Versões do js2py anteriores à 0.74: atualize para uma versão mais recente que corrija essa vulnerabilidade.

Versões do python-Js2Py anteriores à 0.74-3.1 (openSUSE Tumbleweed): atualize para a versão 0.74-3.1 ou posterior.

Versões do pyload-ng menores ou iguais a 0.5.0b3.dev85 (quando usadas com Python 3.11 ou inferior): atualize para uma versão mais recente do pyload-ng que corrija essa vulnerabilidade ou use Python 3.12 ou superior.