【漏洞复现】Setuptools命令注入漏洞（CVE-2024-6345）

文章预览

一、漏洞 概述 漏洞名称   Setuptools命令注入漏洞 CVE   ID CVE-2024-6345 漏洞类型 命令注入 发现时间 2024-07-16 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 是 PoC/EXP 已公开 在野利用 未发现 Setuptools是Python中常用的一个软件包，主要用于构建、打包和发布Python软件包。 2024年8月1日，启明星辰集团VSRC监测到Setuptools中存在一个命令注入漏洞（CVE-2024-6345），其CVSS评分为8.8，目前该漏洞的细节及PoC已公开。 Setuptools 69.1.1及之前版本中的package_index 模块的下载功能中存在命令注入漏洞，这些功能用于从用户提供的URL或从包索引服务器检索的URL下载包，如果威胁者能够控制该输入（例如包URL），则可以利用该漏洞导致远程代码执行，成功利用可在目标系统上执行任意命令。 二、漏洞复现 三、影响范围 Setuptools < = 69.1.1 四、安全 ………………………………