Se cree que hasta 350.000 proyectos de código abierto son potencialmente vulnerables a la explotación como resultado de un fallo de seguridad en un módulo de Python que ha permanecido sin parchear durante 15 años. Python es un lenguaje de programación que en los últimos años ha tomado una gran fuerza gracias a las facilidades que tiene a la hora de aplicarlo en el día a día y también lo fácil que puede ser aprenderlo. Es imposible que los lenguajes de programación estén libres a vulnerabilidades o fallos de seguridad y en este caso Python no ha sido la excepción. Los repositorios de código abierto abarcan una serie de sectores verticales, como el desarrollo de software, la inteligencia artificial/aprendizaje automático, el desarrollo web, los medios de comunicación, la seguridad y la gestión de TI. El fallo, rastreado como CVE-2007-4559 (puntuación CVSS: 6,8), tiene su origen en el módulo tarfile, cuya explotación con éxito podría conducir a la ejecución de código a partir de una escritura de archivo arbitraria. "La vulnerabilidad consiste en un ataque de cruce de rutas en las funciones extract y extractall del módulo tarfile, que permite a un atacante sobrescribir archivos arbitrarios añadiendo la secuencia a los nombres de los archivos en un archivo TAR", dijo el investigador de seguridad de Trellix Kasimir Schulz en un escrito. Revelado originalmente en agosto de 2007, el fallo tiene que ver con cómo un archivo Tar especialmente diseñado puede ser aprovechado para sobrescribir archivos arbitrarios en una máquina de destino simplemente al abrir el archivo. En pocas palabras, un actor de la amenaza puede explotar la debilidad cargando un archivo Tar malicioso de manera que sea posible escapar del directorio al que se pretende extraer un archivo y lograr la ejecución de código, permitiendo al adversario tomar potencialmente el control de un dispositivo de destino. "Nunca extraigas archivos de fuentes no confiables sin una inspección previa", dice la documentación de Python. "Es posible que se creen archivos fuera de la ruta, por ejemplo, miembros que tengan nombres de archivo absolutos que empiecen por '/' o nombres de archivo con dos puntos '..'". La vulnerabilidad también recuerda a un fallo de seguridad revelado recientemente en la utilidad UnRAR de RARlab (CVE-2022-30333) que podría conducir a la ejecución remota de código. Trellix ha lanzado además una utilidad personalizada llamada Creosote para escanear proyectos vulnerables a CVE-2007-4559, utilizándola para descubrir la vulnerabilidad en el IDE Spyder Python así como en Polemarch. "Si no se comprueba, esta vulnerabilidad se ha añadido involuntariamente a cientos de miles de proyectos de código abierto y cerrado en todo el mundo, creando una importante superficie de ataque en la cadena de suministro de software", señaló Douglas McKee.