Plataforma
python
Componente
setuptools
Corregido en
70.0
70.0.0
La vulnerabilidad CVE-2024-6345 es una inyección de comandos presente en setuptools, una herramienta de construcción de paquetes para Python, en versiones hasta la 69.1.1. Esta falla permite la ejecución remota de código a través de las funciones de descarga del módulo package_index. Si estas funciones están expuestas a entradas controladas por el usuario, como URLs de paquetes, un atacante puede ejecutar comandos arbitrarios en el sistema. La vulnerabilidad ha sido solucionada en la versión 70.0.0.
El impacto de CVE-2024-6345 es significativo, ya que permite a un atacante ejecutar código arbitrario en el sistema donde se está utilizando setuptools. Esto podría resultar en la toma de control completa del sistema, robo de datos sensibles, instalación de malware o cualquier otra acción maliciosa que el atacante desee. La vulnerabilidad se explota a través de la manipulación de URLs de paquetes, lo que puede ser difícil de detectar para los usuarios. Un atacante podría inyectar comandos maliciosos en una URL de un paquete, y cuando setuptools intente descargar el paquete, los comandos se ejecutarán en el sistema. Este escenario es similar a otras vulnerabilidades de inyección de comandos donde la falta de validación de entradas permite la ejecución de código no deseado.
CVE-2024-6345 fue publicado el 15 de julio de 2024. La vulnerabilidad se considera de alta probabilidad de explotación debido a la facilidad con la que se puede explotar y la amplia adopción de setuptools en el ecosistema de Python. Actualmente no se han reportado campañas de explotación activas, pero la disponibilidad de un código de explotación funcional aumenta el riesgo. Se recomienda monitorear las fuentes de información de seguridad, como el NVD y CISA, para obtener actualizaciones sobre la situación.
Python developers and system administrators who use setuptools to manage their projects are at risk. This includes individuals and organizations utilizing older versions of setuptools in their development and deployment pipelines, particularly those relying on untrusted package sources or package index servers. Shared hosting environments where multiple users share the same Python installation are also at increased risk.
• python / package-manager:
import setuptools
print(setuptools.__version__)• python / package-manager: Check for setuptools versions <= 9.1.1 using pip show setuptools.
• python / supply-chain: Monitor Python package installations for unexpected dependencies or modifications to site-packages directory.
• python / system: Review system logs for suspicious command execution attempts related to package downloads.
disclosure
Estado del Exploit
EPSS
7.34% (92% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-6345 es actualizar setuptools a la versión 70.0.0 o superior. Si la actualización a la versión más reciente no es inmediatamente posible debido a problemas de compatibilidad, se recomienda revisar las dependencias del proyecto y buscar alternativas que no utilicen las funciones de descarga vulnerables. Como medida temporal, se puede considerar el uso de un proxy o firewall para bloquear el acceso a fuentes de paquetes no confiables. Aunque no es una solución completa, puede reducir el riesgo de explotación. No existen firmas Sigma o YARA específicas publicadas para esta vulnerabilidad, pero se recomienda monitorear el tráfico de red en busca de patrones sospechosos relacionados con la descarga de paquetes.
Actualice la versión de setuptools a la versión 70.0 o superior. Puede hacerlo utilizando el gestor de paquetes pip con el comando `pip install --upgrade setuptools`. Esto solucionará la vulnerabilidad de ejecución remota de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-6345 is a Command Injection vulnerability in setuptools versions up to 9.1.1, allowing attackers to execute arbitrary commands during package downloads.
You are affected if you are using setuptools versions 9.1.1 or earlier. Check your version using pip show setuptools.
Upgrade setuptools to version 70.0.0 or later using pip install --upgrade setuptools==70.0.0.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation suggest a high risk of future exploitation.
Refer to the pypa security advisory: https://security.snyk.io/vuln/SNYK-PYTHON-SETUPTOOLS-1043782
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.