CVE-2026-41206 in PySpector
Tóm tắt
Bởi VulDB • 20/05/2026
PySpector là một khung kiểm tra bảo mật phân tích tĩnh (SAST) được thiết kế cho các quy trình phát triển Python hiện đại. Trình xác thực bảo mật plugin trong PySpector sử dụng phân tích tĩnh dựa trên AST để ngăn chặn mã độc hại được tải dưới dạng plugin. Trước phiên bản 0.1.8, danh sách chặn (blocklist) được triển khai trong `PluginSecurity.validate_plugin_code` không đầy đủ và có thể bị bỏ qua bằng cách sử dụng một số cấu trúc Python không được kiểm tra. Một kẻ tấn công có thể cung cấp tệp plugin có thể thực thi mã tùy ý trong tiến trình PySpector khi plugin đó được cài đặt và thực thi. Phiên bản 0.1.8 khắc phục sự cố này.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.