Exploit pubblicato per la popolare
libreria PDF ReportLab Toolkit

È stato pubblicato un exploit funzionante per una vulnerabilità di esecuzione di codice remoto (RCE) che colpisce ReportLab Toolkit, una popolare libreria Python utilizzata per generare file PDF da input HTML. L’exploit, denominato CVE-2023-33733, è stato reso pubblico su GitHub insieme a un articolo tecnico che fornisce dettagli sulla vulnerabilità, aumentando così il rischio di sfruttamento.

ReportLab Toolkit è utilizzato da numerosi progetti come libreria per la generazione di file PDF e ha un elevato numero di download mensili su PyPI (Python Package Index).

La vulnerabilità deriva dalla possibilità di aggirare le restrizioni sandbox su “rl_safe_eval”, una funzione che impedisce l’esecuzione di codice dannoso. L’exploit consente all’attaccante di accedere a funzioni integrate di Python potenzialmente pericolose. La funzione “rl_safe_eval” era stata introdotta in precedenza come misura di sicurezza per prevenire una vulnerabilità simile scoperta nel 2019, ma il ricercatore ha trovato un modo per aggirarla.

L’exploit utilizza la funzione incorporata “type” per creare una nuova classe che eredita dalla classe “str” e può aggirare i controlli di sicurezza per accedere ad attributi sensibili. Successivamente, sfrutta questa capacità per creare una funzione dannosa che può eseguire azioni arbitrarie, come ad esempio l’esecuzione di comandi del sistema operativo.

Il ricercatore avverte che lo sfruttamento di questa vulnerabilità è semplice come incorporare codice dannoso in un file HTML che verrà poi convertito in PDF utilizzando un software che utilizza la libreria ReportLab.

Il problema è stato segnalato agli sviluppatori di ReportLab dal ricercatore e una correzione è stata inclusa nella versione 3.6.13 della libreria, rilasciata il 27 aprile 2023. Si consiglia a tutti gli utenti di ReportLab di aggiornare alla versione più recente per proteggersi da questa vulnerabilità. Le versioni precedenti della libreria sono tutte considerate vulnerabili.