B
今週中
PythonライブラリのJs2Py(バージョン0.74以下)に、サンドボックスを回避して任意のコードを実行できるリモートコード実行(RCE)の脆弱性
📌 一言でいうと
PythonライブラリのJs2Py(バージョン0.74以下)に、サンドボックスを回避して任意のコードを実行できるリモートコード実行(RCE)の脆弱性が発見されました。攻撃者は`Object.getOwnPropertyNames`を利用して`subprocess.Popen`クラスにアクセスし、ホストOS上で任意のコマンドを実行可能です。この脆弱性は、JavaScriptをPythonで実行する環境において極めて高いリスクとなります。
🏢影響範囲
Js2Pyライブラリを組み込んだWebアプリケーションやサーバーを運用している組織。特にユーザー入力のJavaScriptを処理するシステム。
✅該当時の対応
Js2Pyの最新バージョンへのアップデートを確認するか、信頼できない入力をJs2Pyで処理することを避けてください。代替として、より安全なJavaScript実行環境の検討を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Js2Py CVE-2024-28397 (RCE) 対応について
お疲れさまです。Js2Pyの脆弱性に関する情報共有です。
■ 概要
Js2Py (<= 0.74) において、サンドボックス回避によるリモートコード実行 (RCE) が可能な脆弱性が報告されました。攻撃者はJavaScriptペイロードを通じてホストOSのコマンドを実行できます。
■ 影響範囲
- 対象製品: Js2Py
- 対象バージョン: 0.74 以下のすべてのバージョン
■ 対応手順
1. 内部アプリケーションでJs2Pyライブラリが使用されているか確認してください。
2. 脆弱なバージョンを使用している場合、最新の修正版へのアップデートを検討してください。
3. 外部からの入力をJs2Pyに渡している箇所がある場合、入力バリデーションの強化またはライブラリの置換を検討してください。
■ 参考情報
- CVE-2024-28397
- Exploit-DB EDB-ID: 52532
対応優先度: 高
対応期限: 速やかに確認し、必要に応じてパッチ適用してください。
お疲れさまです。Js2Pyの脆弱性に関する情報共有です。
■ 概要
Js2Py (<= 0.74) において、サンドボックス回避によるリモートコード実行 (RCE) が可能な脆弱性が報告されました。攻撃者はJavaScriptペイロードを通じてホストOSのコマンドを実行できます。
■ 影響範囲
- 対象製品: Js2Py
- 対象バージョン: 0.74 以下のすべてのバージョン
■ 対応手順
1. 内部アプリケーションでJs2Pyライブラリが使用されているか確認してください。
2. 脆弱なバージョンを使用している場合、最新の修正版へのアップデートを検討してください。
3. 外部からの入力をJs2Pyに渡している箇所がある場合、入力バリデーションの強化またはライブラリの置換を検討してください。
■ 参考情報
- CVE-2024-28397
- Exploit-DB EDB-ID: 52532
対応優先度: 高
対応期限: 速やかに確認し、必要に応じてパッチ適用してください。
Subject: [Security Advisory] Js2Py CVE-2024-28397 - Remote Code Execution
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in the Js2Py library.
■ Overview
A sandbox escape vulnerability (CVE-2024-28397) has been discovered in Js2Py (<= 0.74). This allows an attacker to bypass the sandbox via `Object.getOwnPropertyNames` and execute arbitrary system commands using `subprocess.Popen`.
■ Scope
- Product: Js2Py
- Affected Versions: <= 0.74
■ Mitigation Steps
1. Audit all internal projects and dependencies to identify the use of Js2Py.
2. Update the library to a patched version if available, or migrate to a more secure JavaScript runtime.
3. Review application logic to ensure that untrusted user input is not processed by the library.
■ Reference
- CVE-2024-28397
- Exploit-DB EDB-ID: 52532
Priority: High
Deadline: Immediate review and remediation required.
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in the Js2Py library.
■ Overview
A sandbox escape vulnerability (CVE-2024-28397) has been discovered in Js2Py (<= 0.74). This allows an attacker to bypass the sandbox via `Object.getOwnPropertyNames` and execute arbitrary system commands using `subprocess.Popen`.
■ Scope
- Product: Js2Py
- Affected Versions: <= 0.74
■ Mitigation Steps
1. Audit all internal projects and dependencies to identify the use of Js2Py.
2. Update the library to a patched version if available, or migrate to a more secure JavaScript runtime.
3. Review application logic to ensure that untrusted user input is not processed by the library.
■ Reference
- CVE-2024-28397
- Exploit-DB EDB-ID: 52532
Priority: High
Deadline: Immediate review and remediation required.