CVE-2025-24359

Nome do Software Vulnerável e Versões Afetadas Versões do asteval anteriores à 1.0.6

Descrição A questão tem origem na forma como o asteval realiza o tratamento de nós AST FormattedValue, especificamente o valor on formattedvalue utilizando o método format perigoso da classe str. Isso permite que um atacante manipule o valor da string utilizada na chamada perigosa fmt.format( fstring =val). A vulnerabilidade pode ser explorada para acessar atributos protegidos ao acionar intencionalmente uma exceção AttributeError, capturar essa exceção e utilizar seu atributo obj para obter acesso arbitrário a propriedades sensíveis ou protegidas do objeto.

Recomendações Para versões anteriores à 1.0.6, atualize para a versão 1.0.6 para corrigir a questão. Como medida temporária, considere restringir a entrada na biblioteca asteval para prevenir a manipulação dos nós AST FormattedValue. Além disso, evite utilizar a função on formattedvalue até que a questão seja resolvida.