Уязвимость функции js2py.disable_pyimport() библиотеки js2py связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти защитный механизм песочницы и выполнить произвольный код в результате отправки специально созданного вызова API
Использование рекомендаций:
Для js2py:
https://github.com/bmwiedemann/openSUSE/commit/a951988e767280bf50048d1e51be11b49264526a
https://github.com/gentoo/gentoo/pull/37285
https://github.com/Marven11/CVE-2024-28397-js2py-Sandbox-Escape/blob/main/fix.py
https://github.com/Marven11/CVE-2024-28397-js2py-Sandbox-Escape/blob/main/patch.txt
https://github.com/advisories/GHSA-h95x-26f3-88hr
Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-28397.html
| Балл | 10 — критическая опасность |