Vulnerabilidad en ASTEVAL (CVE-2025-24359)

ASTEVAL es un evaluador de expresiones y declaraciones de Python. Antes de la versión 1.0.6, si un atacante podía controlar la entrada de `asteval` librería, podía eludir las restricciones de asteval y ejecutar código Python arbitrario en el contexto de la aplicación utilizando tlibreríaary. La vulnerabilidad tiene su raíz en la forma en que `asteval` realiza el manejo de los nodos AST `FormattedValue`. En particular, el valor `on_formattedvalue` utiliza el método de formato peligroso de la clase str. El código permite a un atacante manipular el valor de la cadena utilizada en la llamada peligrosa `fmt.format(__fstring__=val)`. Esta vulnerabilidad se puede explotar para acceder a atributos protegidos activando intencionalmente una excepción `AttributeError`. El atacante puede entonces capturar la excepción y utilizar su atributo `obj` para obtener acceso arbitrario a propiedades de objetos confidenciales o protegidas. La versión 1.0.6 corrige este problema.