PyPI Swiftly Patches Privilege Escalation Flaw in Organizations Feature
2025/04/15 SecurityOnline — 2025年4月14日に Python Package Index (PyPI) チームは、組織から削除されたユーザーが、その後もチーム権限を保持するという、セキュリティ上の懸念事項に迅速に対応した。この脆弱性により、高権限を必要とする操作への、意図しないアクセスの可能性が生じていた。このインシデントは、テスト中のユーザーにより適切に開示され、PyPI のプロアクティブなインフラ/セキュリティへの対応により、わずか2時間強で修復された。
PyPI Organizations の機能をテストしていた、あるユーザーが問題を発見し、適切なセキュリティ・チャネルを通じて速やかに報告した。PyPI セキュリティ・チームは、25分後には報告を確認し、速やかに事実関係を確認した。PyPI のレポートには、「この報告における事実関係を確認し、このシナリオが発生し得る、すべてのケースを特定し、影響を受ける関係者に通知し、修正プログラムをリリースした」と記載されている。
PyPI セキュリティ・チームは、この脆弱性に速やかに取り組んだ。そして、報告から約2時間以内に、ホット・フィックスが準備され、社内レビューが行われ、PyPI の本番環境で導入された。さらに、影響を受けた関係者に対して通知が行われ、修正を取り込んだ公開プルリクエストが開かれた。PyPI のレポートには、「このインシデントは、報告から 2時間2分で解決された」と記されている。
このホット・フィックスが展開された後に、すべてのインスタンスで脆弱性が修正されたことを確認するために、完全な監査が実施された。この監査の結果として、この問題は 2023年4月20日に有効化された、Organizations の初期の開発段階で発生したことが明らかになった。また、この問題が発生したインスタンスは2件のみであり、権限の不正な保持による操作が行われなかったことも確認された。
2023年4月20日から利用可能になっている PyPI Organizations は、パブリック・ベータ期間の終了に伴い、導入が拡大している。インシデント報告書では、アクティブな Organizations が急増し、過去1か月でコミュニティ Organizations のベータ・テスターが 70 から 1,935 へと増加したことが強調されている。PyPI Organizations においては、パブリック・ベータ期間の終了に伴い、その利用が急速に増加していると、このレポートは指摘している。
PyPI の迅速な対応は非常に頼もしい一方で、同様の落とし穴は他の OSS サービスにも潜んでいる可能性があります。このような“想定外の動き”は、どこでも起こり得るものです。私たち利用者にも、導入する機能の仕様確認やアクセス権の定期的な見直しを怠らない姿勢が求められていると感じます。よろしければ、PyPI で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.