CVE-2026-31220
KrytyczneStreszczenie
Wersje PySyft (Syft Datasite/Server) 0.9.5 i wcześniejsze są podatne na zdalne wykonanie kodu z powodu niewystarczającej walidacji i izolacji kodu przesyłanego przez użytkowników. Użytkownicy o niskich uprawnieniach mogą przesyłać funkcje Pythona do zdalnego wykonania na serwerze, co stwarza ryzyko wykonania niebezpiecznego kodu.
Ocena ryzyka
Atakujący zdalny może wykorzystać tę podatność do wykonania dowolnego kodu Pythona na serwerze, co prowadzi do całkowitego kompromitacji środowiska serwera.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji PySyft, która poprawia walidację i izolację kodu użytkowników. Dodatkowo, należy wdrożyć dodatkowe mechanizmy zabezpieczeń, aby ograniczyć możliwość wykonania nieautoryzowanego kodu.
Oryginalny opis (angielski, źródło NVD)
PySyft (Syft Datasite/Server) versions 0.9.5 and earlier are vulnerable to remote code execution due to insufficient validation and sandboxing of user-submitted code. The system allows low-privileged users to submit Python functions (via @sy.syft_function()) for remote execution on the server. While a code approval mechanism exists, the submitted code undergoes no security checks for dangerous operations (e.g., file access, command execution). Once approved, the code is executed within the server process using exec() and eval() functions without proper isolation. A remote attacker can leverage this to execute arbitrary Python code on the server, leading to complete compromise of the server environment.

