CVE-2025-50817(Python-future:test.py 未预期导入导致任意代码执行)
时间线发布日期:2025-08-14(公开披露)
风险等级:高 / 致命(取决于环境中的写权限与暴露面)
影响范围:future(PyPI)包,版本 ≥ 0.14.0(0.14.0 及之后的多个 0.x / 1.0.0 系列被标记为受影响)。
一句话概述
模块用途
future 这个库就是个“翻译官” —— 它原本是为了让 Python2 的老代码 能在 Python3 上也跑得动,或者一份代码能同时在 Py2 和 Py3 下都跑。
你在 Py2 里写:from future.moves import urllib,它帮你“翻译”成 Py3 的写法。
在 Py3 里跑同样的代码,也没报错。
但是!
现在都 2025 年了,Python2 早就凉了。
如果你整个环境只用 Python3,那 future 就是 多余的累赘。
留着它没啥用,反而可能出安全漏洞(比如路径被污染,别人能塞恶意代码让它导进去)。
future 就是历史遗留的兼容工具。你要是全用 Python3,就把它删了,直接用系统自带的模块,省心又安全。
漏洞概述
在 future 包的若干版本中,包加载/子模块解析存在设计缺陷:在某些导入路径/初始化逻辑下会无条件或意外地导入名为 test 的模块,如果攻击者能够把一个 test.py 放到 Python 的 sys.path 可写位置(或与应用工作目录相同),该文件就会被执行,可能导致任意代码执行(RCE)。
说白了就是当你导入存在漏洞的模块时,会自动触发当前目录或者sys.path目录中叫做test.py的文件。如果攻击者能够通过文件上传/受限制的RCE等漏洞将含有恶意内容的test.py进行传入则可能导致无限制RCE、敏感信息泄露等严重后果
受影响的版本(概要)
官方/数据库汇总显示,受影响的起始版本为 0.14.0;随后多个 0.x 及 1.0.0 在不同列表中被列为受影响。请以你环境中实际安装的版本为准。
复现
出处:https://www.cnblogs.com/hongzh0/本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须在文章页面给出原文链接,否则保留追究法律责任的权利。
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! 感谢分享,学习下。 这个有用。 yyds。多谢分享 不错,里面软件多更新就更好了 谢谢分享,辛苦了 懂技术并乐意极积无私分享的人越来越少。珍惜 这个好,看起来很实用 过来提前占个楼 分享、互助 让互联网精神温暖你我 喜欢鼓捣这些软件,现在用得少,谢谢分享! yyds。多谢分享 谢谢楼主提供! 懂技术并乐意极积无私分享的人越来越少。珍惜 分享、互助 让互联网精神温暖你我 感谢,下载保存了 东西不错很实用谢谢分享 谢谢楼主提供! 前排留名,哈哈哈 谢谢分享,辛苦了
页:
[1]
2