威脅檢測和響應公司 Trellix 的研究人員發現了一個存在 15 年之久的 Python 漏洞，表明它比最初認為的更嚴重，并且可能影響數十萬個應用程序。有問題的漏洞是 CVE-2007-4559，最初被描述為 Python 的“tarfile”模塊中的目錄遍歷漏洞，該漏洞可能允許攻擊者通過說服用戶處理特制的 tar 檔案來遠程覆蓋任意文件。

該漏洞從未正確修補，而是警告用戶不要打開來自不受信任來源的存檔文件。通過對 GitHub 的標準公共訪問，能夠找到超過 300,000 個包含 Python 的 tarfile 模塊的文件，平均 61% 的文件容易受到 2022 年 CVE-2007-4559 的攻擊。聯系 GitHub 以查看是否我們可以更全面地了解這個存在 15 年之久的漏洞的足跡。在 GitHub 的合作下，能夠確定在大約 588,000 個獨特的存儲庫中大約有 287 萬個開源文件，其中包含 Python 的 tarfile 模塊。由于數據集很大，目前正在處理結果，然而，目前存在 61% 的易受攻擊實例，這使我們估計超過 350,000 個獨特的開源存儲庫將容易受到這種攻擊。這個開源代碼庫跨越了眾多行業。這些行業的概述可以在下面的圖表中看到，我們預計如果所有軟件的數據都可用，它會更廣泛。

Trellix 的研究人員現在表明，攻擊者可以利用該漏洞編寫任意文件，并在大多數情況下執行惡意代碼。他們針對幾個使用易受攻擊的 Python 模塊的流行應用程序證明了這一點，甚至展示了攻擊者如何使用社會工程在具有管理員權限的目標系統上執行任意代碼。

這家網絡安全公司發布了一個名為Creosote的開源工具，可用于掃描項目中是否存在此 tarfile 漏洞。使用此工具，他們掃描了公共 GitHub 存儲庫并發現了 300,000 個包含 tarfile 模塊的文件，其中大約 61%容易受到利用 CVE-2007-4559 的攻擊。

在 GitHub 的幫助下，他們進行了更全面的掃描，在近 590,000 個獨特的存儲庫中識別出 287 萬個包含 tarfile 模塊的開源文件。如果其中 61% 易受攻擊，則受 CVE-2007-4559 影響的開源項目總數約為 350,000 個。其中包括開發、人工智能/機器學習、網絡、數據科學、IT 管理和其他行業的組織制作的應用程序。

此外，研究人員指出，有問題的模塊也存在于許多閉源項目中。

Trellix說：“這個漏洞非常容易利用，幾乎不需要了解復雜的安全主題。由于這一事實以及該漏洞在野外普遍存在，Python 的 tarfile 模塊已成為威脅全球基礎設施的巨大供應鏈問題?！?/p>