老牌Python語言解析工具庫PLY(Python Lex-Yacc)存在遠端程式碼執行(RCE)資安漏洞CVE-2025-56005,CVSS 3.1基礎評分高達9.8,屬於重大(Critical)等級的漏洞。研究人員指出,這起漏洞並非源自常見的輸入檢查錯誤,而是與PLY內部一項未於官方文件揭露的設計細節有關,在特定使用情境下,可能被濫用為攻擊入口。
未揭露的設計細節,成為高風險漏洞來源
PLY是一套長期被用於建構語法分析器的Python函式庫,應用場景涵蓋程式語言處理、設定檔解析與後端服務等。根據資安研究人員Bohmiiidd的分析,PLY在yacc()函式支援一個未被官方文件記載的參數picklefile,這原本用於指定解析表的快取檔案,但在實作上,PLY會直接使用Python內建的pickle機制載入該檔案,過程中未檢查檔案來源是否可信。由於pickle在設計上並未考量安全性,若檔案內容遭刻意製作或竄改,在載入時就可能直接執行惡意程式碼。
CVE-2025-56005也被NVD歸類為CWE-502「不可信資料反序列化」,屬於資安事件中相當常見、但一旦發生往往後果嚴重的弱點類型。
PLY專案已停止更新,研究人員呼籲儘早評估替代方案
目前已知受到CVE-2025-56005影響的PLY是3.11版。研究人員提醒,該漏洞的危險之處在於,攻擊不需等到程式實際處理資料,只要在啟動階段載入遭竄改的快取檔,就可能被植入後門,進而影響部署環境與自動化流程。
在專案狀態方面,PLY原作者David Beazley已公開表示不再維護該專案,目前PyPI上最新版本仍停留在2018年發布的3.11版。
資安研究人員建議,仍在使用PLY的開發團隊,應儘速盤點程式碼中是否使用picklefile相關功能,避免載入來源不明的快取檔,並重新檢視檔案存放位置與權限設定。若PLY仍是系統中的關鍵相依套件,也應評估改用其他仍持續維護的解析函式庫,或自行接手維護必要程式碼,以降低後續資安風險。
熱門新聞
2026-02-01
2026-01-30
2026-01-30
2026-01-30