Una vulnerabilidad crítica de ejecución de código remoto (RCE) que afecta las aplicaciones web de Django, que demuestra cómo la funcionalidad de carga de archivos CSV aparentemente benigna puede armarse para un compromiso completo del servidor.
Resumen
1.
2. Los atacantes usan entrada de nombre de usuario insanitizada (../../../../../../app/backend/backend/) para apuntar al archivo wsgi.py de Django.
3.
4. Exitir la explotación otorga la ejecución completa del código remoto e infiltración de infraestructura potencial.
El exploit, publicado el 30 de junio de 2025, el directorio de cadenas de directorio con abuso de analizador PANDAS CSV para sobrescribir el archivo wsgi.py de Django y lograr la ejecución del código arbitrario.
Ejecución del código remoto de la aplicación django a través de la carga CSV
Durante un compromiso de recompensa de errores, el investigador de seguridad Jineesh AK reveló Una vulnerabilidad en una aplicación Django que permite a los usuarios enviar archivos CSV para su procesamiento.
El punto final vulnerable de la aplicación utilizó PANDAS para analizar archivos CSV cargados y guardar los resultados procesados en el disco en función de la entrada controlada por el usuario.
El defecto crítico surgió de la confianza de la aplicación en los datos suministrados por el usuario sin la desinfección adecuada. El segmento de código vulnerable muestra cómo el parámetro de nombre de usuario se incorporó directamente a las rutas del sistema de archivos:
Este diseño permitió a los atacantes manipular la ubicación de escritura de archivo utilizando secuencias de transbordamiento de directorio como ../../../../../../app/backend/backend/, evitando efectivamente los controles de acceso previstos y apuntar a archivos del sistema confidenciales.
La técnica de explotación del investigador consistió en elaborar una carga útil CSV maliciosa que sobreviviría al ciclo de procesamiento Read_CSV () y To_CSV () de PANDAS mientras permanecería un código Python válido.
La innovación clave fue incorporar la carga útil maliciosa dentro de los comentarios de Python, asegurando que el intérprete de Python ignore los comas y el formato introducidos por Pandas.
La carga útil demostró una comprensión sofisticada tanto del comportamiento de análisis de CSV como de la sintaxis de Python:
El archivo de destino, wsgi.py, se eligió estratégicamente porque el servidor de desarrollo de Django recarga automáticamente este archivo de interfaz de puerta de enlace del servidor web cuando se modifica, activando la ejecución de código inmediato sin requerir una intervención manual.
Esta vulnerabilidad demuestra el potencial peligroso de encadenar múltiples defectos de seguridad aparentemente menores en hazañas críticas.
El vector de ataque destaca varias prácticas preocupantes: entrada de usuario insanitizada en operaciones del sistema de archivos, procesamiento de archivos inseguro con bibliotecas de terceros y el comportamiento de recuperación automática de Django en entornos de desarrollo.
El Exploit otorga a los atacantes las capacidades de ejecución del código del lado del servidor, que potencialmente conduce al robo de datos, el compromiso del sistema y el movimiento lateral dentro de la infraestructura dirigida.
Las organizaciones que utilizan aplicaciones Django con funcionalidad de carga de archivos deben auditar inmediatamente su código para patrones similares, implementar una validación de entrada adecuada y considerar las operaciones de procesamiento de archivos de sandboxing para evitar dichas cadenas de explotación.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
