Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a la librería de Python ReportLab, que permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado. Actualmente para esta vulnerabilidad existe prueba de concepto (PoC) pública.
La vulnerabilidad identificada como CVE-2023-33733, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de controles de seguridad al momento de crear una nueva clase llamada Word que hereda de la clase str en la librería de Python ReportLab. Esto permitiría a un atacante a través del envío de una instancia de la clase Word especialmente diseñada, evadir los controles de seguridad y obtener acceso no autorizado a atributos sensitivos, para así potencialmente realizar ejecución remota de código (RCE) al convertir un archivo HTML a PDF en el sistema afectado.
Las versiones afectadas son:
- Librería ReportLab de Python, versiones anteriores a 4.0.0.
Recomendamos acceder a la actualización correspondiente proporcionada por el fabricante en el siguiente enlace:
Referencias: