Vulnerabilidad en pydash (CVE-2023-26145)

Esto afecta a las versiones del paquete pydash anteriores a la 6.0.0. Varios métodos de pydash, como pydash.objects.invoke() y pydash.collections.invoke_map(), aceptan rutas de puntos (Deep Path Strings) para apuntar a un objeto Python anidado, en relación con el objeto fuente original. Estas rutas se pueden utilizar para apuntar a atributos internos de clase y elementos de dictado, para recuperar, modificar o invocar objetos Python anidados. **Nota:** El método pydash.objects.invoke() es vulnerable a la inyección de comandos cuando se cumplen los siguientes requisitos previos: <br /> 1) El objeto fuente (argumento 1) no es un objeto integrado como list/dict (de lo contrario, the __init__.__globals__ path no es accesible) <br /> 2) El atacante tiene control sobre el argumento 2 (la cadena de ruta)<br /> 3) El argumento (el argumento para pasar al método invocado) <br /> El método pydash.collections.invoke_map() también es vulnerable, pero es más difícil de explotar ya que el atacante no tiene control directo sobre el argumento que se pasará a la función invocada.<br />