pymatgen arbitrary code execution when parsing a maliciously crafted JonesFaithfulTransformation transformation_string 漏洞信息(CVE-2024-23346)

一、漏洞 CVE-2024-23346 基础信息

漏洞信息

                                        # pymatgen 解析恶意转换字符串代码执行漏洞

## 漏洞概述
Pymatgen 是一个用于材料分析的开源 Python 库。在 Pymatgen 库的 `JonesFaithfulTransformation.from_transformation_str()` 方法中，存在一个关键安全漏洞，该方法不安全地使用 `eval()` 处理输入，导致在解析不受信任的输入时可以执行任意代码。

## 影响版本
- 影响版本：所有小于 2024.2.20 的版本
- 修复版本：2024.2.20

## 漏洞细节
`JonesFaithfulTransformation.from_transformation_str()` 方法使用了 `eval()` 函数处理输入字符串。由于 `eval()` 函数可能会执行任意输入的代码，攻击者可以通过提供恶意输入来执行任意代码。

## 影响
如果应用程序使用了受漏洞影响的 Pymatgen 版本，并且该应用程序处理了不受信任的用户输入，攻击者可以利用这个漏洞执行任意代码，从而危及系统的安全。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

pymatgen arbitrary code execution when parsing a maliciously crafted JonesFaithfulTransformation transformation_string

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Pymatgen (Python Materials Genomics) is an open-source Python library for materials analysis. A critical security vulnerability exists in the `JonesFaithfulTransformation.from_transformation_str()` method within the `pymatgen` library prior to version 2024.2.20. This method insecurely utilizes `eval()` for processing input, enabling execution of arbitrary code when parsing untrusted input. Version 2024.2.20 fixes this issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

在命令中使用的特殊元素转义处理不恰当(命令注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

Pymatgen 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

pymatgen是一个用于材料分析的开源 Python 库。 Pymatgen 2024.2.20之前版本存在安全漏洞，该漏洞源于不安全地利用eval()函数来处理输入，从而在解析不受信任的输入时能够执行任意代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-23346 的公开POC

#	POC 描述	源链接	神龙链接
1	This repository contains a Crystallographic Information File (CIF) intended for use on the "Chemistry" machine on Hack The Box (HTB).	https://github.com/9carlo6/CVE-2024-23346	POC详情
2	This is an exploit for CVE-2024-23346 that acts as a "terminal" (tested on chemistry.htb)	https://github.com/MAWK0235/CVE-2024-23346	POC详情
3	PoC of the vulnerability CVE-2024-23346	https://github.com/Sanity-Archive/CVE-2024-23346	POC详情
4	A Rust exploit for CVE-2024-23346 that functions as a "terminal" (tested on chemistry.htb)	https://github.com/szyth/CVE-2024-23346-rust-exploit	POC详情
5	This is a exploit for the known Remote Code Execution (RCE) vulnerability in the `pymatgen` (CVE-2024-23346) Python library by uploading a malicious `CIF` file to the hosted `CIF Analyzer` website on the target running on the Chemistry machine from Hack the Box.	https://github.com/DAVIDAROCA27/CVE-2024-23346-exploit	POC详情

三、漏洞 CVE-2024-23346 的情报信息

https://github.com/materialsproject/pymatgen/security/advisories/GHSA-vgv8-5cpj-qj2f x_refsource_CONFIRM
https://github.com/materialsproject/pymatgen/commit/c231cbd3d5147ee920a37b6ee9dd236b376bcf5a x_refsource_MISC
https://github.com/materialsproject/pymatgen/blob/master/pymatgen/symmetry/settings.py#L97C1-L111C108 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2024-23346

四、漏洞 CVE-2024-23346 的评论

暂无评论

一、 漏洞 CVE-2024-23346 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-23346 的公开POC

三、漏洞 CVE-2024-23346 的情报信息

四、漏洞 CVE-2024-23346 的评论

发表评论

一、漏洞 CVE-2024-23346 基础信息