pymatgen Remote Code Execution Vulnerability
漏洞信息
漏洞名称: pymatgen Remote Code Execution Vulnerability
漏洞编号:
- CVE: CVE-2024-23346
漏洞类型: 命令执行
漏洞等级: 高危
漏洞描述: pymatgen是一个用于材料分析的Python库,广泛应用于材料科学领域,支持从晶体结构分析到材料设计的多种功能。该库通常被集成在科研软件和在线材料分析平台中,如CIF Analyzer网站,用于处理和分析晶体信息文件(CIF)。此次发现的远程代码执行(RCE)漏洞(CVE-2024-23346)允许攻击者通过上传恶意的CIF文件到目标网站,利用pymatgen库的漏洞执行任意代码。漏洞的技术根源在于pymatgen库在处理CIF文件时,未能充分验证输入数据的合法性,导致恶意构造的文件可以触发代码执行。这一漏洞的影响极为严重,攻击者无需认证即可利用此漏洞,实现对目标系统的完全控制,可能导致数据泄露、服务中断等严重后果。由于pymatgen的广泛使用,该漏洞的影响范围较大,建议用户及时更新到修复版本以防止潜在的攻击。
产品厂商: pymatgen
产品名称: pymatgen
来源: https://github.com/DAVIDAROCA27/CVE-2024-23346-exploit
类型: CVE-2024:github search
仓库文件
- CVE-2024-23346-exploit.py
- README.md
来源概述
CVE-2024-23346-exploit
This is a exploit for the known Remote Code Execution (RCE) vulnerability in the pymatgen (CVE-2024-23346) Python library by uploading a malicious CIF file to the hosted CIF Analyzer website on the target
Usage: CVE-2024-23346-exploit.py -t
Example:
python3 CVE-2024-23346-exploit.py -t 10.10.11.38 -P 5000 -u ramon -p ramon -l 10.10.15.000
