摘要:
python-asteval security update
安全等级: High
公告ID: KylinSec-SA-2025-2450
发布日期: 2025年5月1日
关联CVE: CVE-2025-24359
ASTEVAL 是一个支持 numpy 运算的安全(相对)表达式求值库,专注于数学表达式解析,优先使用 numpy 通用函数(ufuncs)。符号存储于解释器符号表 "symtable" —— 一个支持简单扁平命名空间的字典结构。表达式可编译为 AST 节点供后续求值,求值时使用符号表当前值。
安全修复
ASTEVAL(Python 表达式与语句求值器)1.0.6 之前版本存在安全绕过漏洞。若攻击者能控制输入内容,可突破限制在应用上下文中执行任意 Python 代码。该漏洞源于对 FormattedValue AST 节点的处理方式:on_formattedvalue 方法危险地调用了 str 类的 format 方法,攻击者可通过操纵 fmt.format(__fstring__=val) 中的字符串值,利用故意触发的 AttributeError 异常获取其 obj 属性,从而访问受保护对象属性。该问题已在 1.0.6 版本修复。(CVE-2025-24359)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-24359 | V6 | python-asteval | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python-asteval-help | noarch | 1.0.6-1.ks6 |
| python3-asteval | noarch | 1.0.6-1.ks6 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
