Vulnerabilidad en Python JSON Logger (CVE-2025-27607)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/03/2025
Última modificación:
01/07/2025
Descripción
Python JSON Logger es un formateador JSON para el registro de Python. Entre el 30 de diciembre de 2024 y el 4 de marzo de 2025, Python JSON Logger fue vulnerable a RCE debido a una dependencia faltante. Esto ocurrió porque el propietario eliminó msgspec-python313-pre, lo que dejó el nombre abierto a que un tercero lo reclamara. Si se reclamaba el paquete, les permitiría realizar RCE en cualquier usuario de Python JSON Logger que instalara las dependencias de desarrollo en Python 3.13 (por ejemplo, pip install python-json-logger[dev]). Este problema se ha resuelto con la versión 3.3.0.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nhairs:python_json_logger:*:*:*:*:*:*:*:* | 3.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/nhairs/python-json-logger/commit/2548e3a2e3cedf6bef3ee7c60c55b7c02d1af11a
- https://github.com/nhairs/python-json-logger/commit/e7761e56edb980cfab0165e32469d5fd017a5d72
- https://github.com/nhairs/python-json-logger/security/advisories/GHSA-wmxh-pxcx-9w24
- https://github.com/nhairs/python-json-logger/security/advisories/GHSA-wmxh-pxcx-9w24