恶意mitmproxy2 Python包被移除
2021-10-14 12:45:00 Author: www.4hou.com(查看原文) 阅读量:38 收藏

PyPI近日移除了恶意mitmproxy2 Python包。

mitmproxy2

官方mitmproxy Python库是一个免费、开源的交互式HTTPS代理,每周下载量超过4万次。10月11日,mitmproxy的开发者之一Maximilian Hils发推警示用户近日上传到PyPI的mitmproxy2包,称该包与mitmproxy是一样的,但其中包含一个(人为嵌入的)远程代码执行漏洞。

image.png

Hils的本意是向软件开发者提出警告,使得开发者不要错误地将'mitmproxy2'当做是'mitmproxy'的新版本,而其开发的应用中引入不安全的代码。

mitmproxy2 pypi page

mitmproxy2 pypi页面

Hils意外发现了mitmproxy2 Python包,经过与mitmproxy对比发现,mitmproxy2中移除了API的所有安全措施:

'mitmproxy2' had API safeguards removed

'mitmproxy2'移除了API防护

当用户运行mitmproxy的web接口时,只会暴露HTTP API。但是从API中移除了防护措施后,处于同一网络中的所有人都可以用一个简单的HTTP请求在受害者机器上执行代码。

目前还不清楚发布'mitmproxy2'包的用户是处于恶意目的还是由于不安全的编码导致移除了API防护。

mitmproxy-iframe

随后,PyPI移除了mitmproxy2。但就在mitmproxy2被移除后不到1天的时间,BleepingComputer研究人员又在PyPI中发现了一个名为mitmproxy-iframe的包。该包也是官方mitmproxy包的复制版本,但是也从app.py文件中移除了mitmproxy2中移除的防护措施。

mitmproxy-iframe with same code execution vulnerability

'mitmproxy-iframe' 包代码

此外,mitmproxy-iframe与mitmproxy2的发布者是同一个人。那么该用户的意图就很清楚了。

本文翻译自:https://www.bleepingcomputer.com/news/security/pypi-removes-mitmproxy2-over-code-execution-concerns/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/GWvL
如有侵权请联系:admin#unsafe.sh