在 Python JSON Logger 包（python-json-logger）中，發現了一個嚴重影響版本 3.2.0 和 3.2.1 的重大漏洞，編號為 CVE-2025-27607。該漏洞因對缺失依賴項 “msgspec-python313-pre” 的濫用，導致了遠程代碼執行（RCE）風險。最近的一項實驗揭示了惡意行為者能夠通過聲明和操縱這一缺失的依賴項來利用該漏洞，使得這一問題引發了廣泛關注。

漏洞詳細信息

問題源于 PyPi 中 “msgspec-python313-pre” 依賴項被刪除。這一刪除操作使得該依賴項名稱可供任何人隨意聲明，這就為惡意行為者創造了可乘之機，他們有可能發布同名的惡意軟件包。一旦惡意行為者聲明擁有該依賴項，在 Python 3.13 環境下使用 “pip install python-json-logger [dev]” 命令安裝 python-json-logger 開發依賴項的用戶，就可能在毫不知情的情況下，下載并執行惡意代碼。

該漏洞是由 @omnigodz 在研究供應鏈攻擊時發現的。研究人員注意到，盡管 PyPi 中已不存在 “msgspec-python313-pre” 依賴項，但在 python-json-logger 版本 3.2.1 的 pyproject.toml 文件中，它仍被聲明存在。

受影響的版本

受此次漏洞影響的版本為 3.2.0 和 3.2.1。為了在不造成實際危害的前提下演示該漏洞，研究人員臨時發布了同名的非惡意軟件包，之后又將其刪除。這一操作使得該軟件包名稱與受信任的實體關聯起來，有效防止了潛在惡意行為者利用此漏洞。

影響與響應

根據官方 PyPi BigQuery 數據庫數據，python-json-logger 包應用廣泛，每月下載量超 4600 萬次。盡管目前沒有證據表明該漏洞在公開披露前已被利用，但其潛在影響不容小覷。一旦惡意行為者聲明擁有 “msgspec-python313-pre” 依賴項，所有安裝 python-json-logger 開發依賴項的用戶都將面臨風險。

為解決這一問題，python-json-logger 的維護人員迅速發布了 3.3.0 版本，該版本已移除了易受攻擊的依賴項。建議使用受影響版本的用戶盡快更新到最新版，以降低遭受 RCE 攻擊的風險。

此次事件凸顯了維護和確保軟件包依賴關系安全的重要性，同時也強調了在開源生態系統中，對供應鏈安全保持高度警惕的必要性。雖然這一特定漏洞已得到解決，但它提醒著開發人員和用戶，要時刻關注潛在安全風險，并及時將軟件更新到最新版本。

參考及來源：https://gbhackers.com/over-43-million-python-installations-vulnerable/