漏洞概述 漏洞名称: Python Sandbox Escape via str Subclass startswith() Override in execute_code 漏洞描述: 在 包中, 方法存在一个三层包装的 Python 沙箱,本应完全阻止通过 子类覆盖 方法进行的沙箱逃逸攻击。然而,由于 包装器在应用 时存在缺陷,导致沙箱可以被绕过。 CVSS 评分: 8.8/10 (高危) 影响范围: 任何运行 的代理或管道都可能受到此漏洞的影响,因为默认情况下会调用 ,这意味着人类配置是必需的,并且工具文件在运行期间需要额外的权限提升。 修复方案: 需要更新 包到最新版本,并检查代码中是否使用了 方法。如果使用了,需要确保沙箱环境的安全性,避免使用可能被利用的 子类覆盖 方法。 详细信息 包名称: 受影响版本: = 1.5.9 漏洞类型: 沙箱逃逸 严重性: 高 CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 代码示例 影响 潜在风险: 攻击者可以利用此漏洞执行任意命令,导致系统被完全控制。 建议措施: 立即更新 包,并审查相关代码,确保沙箱环境的安全性。