Popular Python Logging Library Vulnerable to Remote Code Execution (CVE-2025-27607)
2025/03/09 SecurityOnline — JSON ログの生成に用いられる、人気の Python ライブラリ “python-json-logger” で深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、ライブラリがインストールされているシステム上で、任意のコード実行の機会を手にする。
この脆弱性 CVE-2025-27607 (CVSS:8.8) は、 “msgspec-python313-pre” と呼ばれる依存関係の欠落に起因する。この依存関係はオプションであるが、PyPI リポジトリには存在しないため、悪用される可能性がある。
つまり、同じ名前である “msgspec-python313-pre” を持つ悪意のパッケージが、攻撃者により PyPI で公開される可能性がある。それにより、オプションの依存関係を用いて “python-json-logger” をインストールすると、この悪意のパッケージが自動的にインストールされ、攻撃者に対してリモート・コード実行を許す可能性が生じる。
想定される影響
- リモート・コード実行:影響を受けるシステムの完全な制御を、攻撃者に許す可能性がある。
- データ侵害:機密データが攻撃者にアクセスされ、盗み出される可能性がある。
- システムの中断:影響を受けるシステムの通常の動作が、攻撃者により中断される可能性がある。
影響を受けるユーザー
“python-json-logger” パッケージは、毎月4,300万回以上もダウンロードされており、多数のユーザーにとって、この脆弱性は重大な脅威となっている。Python 3.13.x 環境において、オプションの依存関係を用いて、パッケージをインストールしているユーザーは潜在的に危険にさらされている。
修正について
“python-json-logger” を使用している開発者/組織に対して、強く推奨されるのは、必要な修正を取り込んだバージョン3.3.0 以降への、速やかなアップデートである。
脆弱性の詳細な PoC および技術分析については、Seaside 2025 セキュリティ・カンファレンスで発表された調査および、セキュリティ・アドバイザリを参照してほしい。
“python-json-logger” パッケージは、2013年2月にリリースされ、毎月 4,300万回以上もダウンロードされているとのことです。ご利用のチームも多いことと思います。PoC エクスプロイトが提供されたことで、悪用の可能性も高まります。十分にご注意ください。よろしければ、PyPI で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.