На прошлой неделе разработчики PyPI исправили три уязвимости, одна из которых могла быть использована для исполнения кода и получения полного контроля над репозиториями других разработчиков.

Исследователь безопасности из Японии обнаружил данные уязвимости. В рамках программы bug bounty он получил $3,000 в качестве вознаграждения.

Успешное использование уязвимостей могло закончиться произвольным удалением файлов. Использование одной из уязвимостей могло привести к тому, что злоумышленник исполнит вредоносный код на pypi.org.

Источник: secure news