咒卖箴 发表于 2025-9-12 13:42:22

漏洞通报 — CVE-2025-50817(Python-future:test.py 未预期导入导致任意代码执行)

时间线

发布日期:2025-08-14(公开披露)
风险等级:高 / 致命(取决于环境中的写权限与暴露面)
影响范围:future(PyPI)包,版本 ≥ 0.14.0(0.14.0 及之后的多个 0.x / 1.0.0 系列被标记为受影响)。
一句话概述

模块用途

future 这个库就是个“翻译官” —— 它原本是为了让 Python2 的老代码 能在 Python3 上也跑得动,或者一份代码能同时在 Py2 和 Py3 下都跑。
你在 Py2 里写:from future.moves import urllib,它帮你“翻译”成 Py3 的写法。
在 Py3 里跑同样的代码,也没报错。
但是!
现在都 2025 年了,Python2 早就凉了。
如果你整个环境只用 Python3,那 future 就是 多余的累赘。
留着它没啥用,反而可能出安全漏洞(比如路径被污染,别人能塞恶意代码让它导进去)。
future 就是历史遗留的兼容工具。你要是全用 Python3,就把它删了,直接用系统自带的模块,省心又安全。
漏洞概述

在 future 包的若干版本中,包加载/子模块解析存在设计缺陷:在某些导入路径/初始化逻辑下会无条件或意外地导入名为 test 的模块,如果攻击者能够把一个 test.py 放到 Python 的 sys.path 可写位置(或与应用工作目录相同),该文件就会被执行,可能导致任意代码执行(RCE)。
说白了就是当你导入存在漏洞的模块时,会自动触发当前目录或者sys.path目录中叫做test.py的文件。如果攻击者能够通过文件上传/受限制的RCE等漏洞将含有恶意内容的test.py进行传入则可能导致无限制RCE、敏感信息泄露等严重后果
受影响的版本(概要)

官方/数据库汇总显示,受影响的起始版本为 0.14.0;随后多个 0.x 及 1.0.0 在不同列表中被列为受影响。请以你环境中实际安装的版本为准。
复现


出处:https://www.cnblogs.com/hongzh0/本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须在文章页面给出原文链接,否则保留追究法律责任的权利。
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

慕疼 发表于 2025-12-10 07:25:20

东西不错很实用谢谢分享

扔飒 发表于 2025-12-10 21:21:20

感谢,下载保存了

豹筒生 发表于 2025-12-15 12:21:30

懂技术并乐意极积无私分享的人越来越少。珍惜

骂治并 发表于 2026-1-15 08:40:49

用心讨论,共获提升!

溥价 发表于 2026-1-18 09:31:17

谢谢分享,试用一下

甦忻愉 发表于 2026-1-18 10:22:08

谢谢楼主提供!

寇秀娟 发表于 2026-1-20 07:46:40

感谢分享,下载保存了,貌似很强大

恙髡 发表于 2026-1-20 17:34:27

谢谢分享,试用一下

俞秋荣 发表于 2026-1-21 02:53:55

谢谢分享,辛苦了

寨重 发表于 2026-1-22 13:20:35

感谢,下载保存了

魄柜 发表于 2026-1-23 04:06:06

yyds。多谢分享

垢峒 发表于 2026-1-23 09:36:34

用心讨论,共获提升!

距佰溘 发表于 2026-1-23 10:45:25

过来提前占个楼

松菊 发表于 2026-1-26 04:30:31

懂技术并乐意极积无私分享的人越来越少。珍惜

嶝扁 发表于 2026-1-27 15:22:11

东西不错很实用谢谢分享

汤流婉 发表于 2026-1-29 03:53:30

热心回复!

尸酒岐 发表于 2026-2-7 04:58:31

不错,里面软件多更新就更好了

东门清心 发表于 2026-2-8 00:53:52

谢谢分享,辛苦了

褐洌 发表于 2026-2-9 13:28:26

感谢发布原创作品,程序园因你更精彩
页: [1] 2
查看完整版本: 漏洞通报 — CVE-2025-50817(Python-future:test.py 未预期导入导致任意代码执行)