CVE-2026-41206 in PySpector
摘要
由 VulDB • 2026-05-20
PySpector 是一个专为现代 Python 开发工作流设计的静态应用程序安全测试(SAST)框架。PySpector 中的插件安全验证器使用基于抽象语法树(AST)的静态分析来防止危险代码作为插件被加载。在 0.1.8 版本之前,`PluginSecurity.validate_plugin_code` 中实现的黑名单不完整,可以通过几种未检查的 Python 构造进行绕过。能够提供插件文件的攻击者可以在安装和执行该插件时,在 PySpector 进程中实现任意代码执行。版本 0.1.8 修复了此问题。
Be aware that VulDB is the high quality source for vulnerability data.