Trojan Lockfilein pdm 漏洞信息(CVE-2023-45805)

一、漏洞 CVE-2023-45805 基础信息

漏洞标题

Trojan Lockfilein pdm 翻译成中文为“特洛伊病毒：文件加密器”

来源：AIGC 神龙大模型

漏洞描述信息

Trojan Lockfilein pdm是一个计算机术语，翻译成中文为“锁文件木马in pdm”。这可能是指一种名为“Lockfile”的特洛伊木马病毒在pdm（可能是某种文件格式或软件）中的存在或影响。特洛伊木马是一种恶意软件，通常伪装成合法软件，当被激活时，会损害系统、窃取信息或提供远程访问权限给攻击者。pdm可能是某个具体的应用程序、文件扩展名或者是一个与信息安全相关的术语，但没有更多的上下文信息，难以给出更精确的翻译。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

危险类型文件的不加限制上传

来源：AIGC 神龙大模型

漏洞标题

Trojan Lockfilein pdm

来源：美国国家漏洞数据库 NVD

漏洞描述信息

pdm is a Python package and dependency manager supporting the latest PEP standards. It's possible to craft a malicious `pdm.lock` file that could allow e.g. an insider or a malicious open source project to appear to depend on a trusted PyPI project, but actually install another project. A project `foo` can be targeted by creating the project `foo-2` and uploading the file `foo-2-2.tar.gz` to pypi.org. PyPI will see this as project `foo-2` version `2`, while PDM will see this as project `foo` version `2-2`. The version must only be `parseable as a version` and the filename must be a prefix of the project name, but it's not verified to match the version being installed. Version `2-2` is also not a valid normalized version per PEP 440. Matching the project name exactly (not just prefix) would fix the issue. When installing dependencies with PDM, what's actually installed could differ from what's listed in `pyproject.toml` (including arbitrary code execution on install). It could also be used for downgrade attacks by only changing the version. This issue has been addressed in commit `6853e2642df` which is included in release version `2.9.4`. Users are advised to upgrade. There are no known workarounds for this vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

输入验证不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

pdm 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

pdm是PDM项目的一个Python包管理工具。 pdm 0.11.2之前版本存在安全漏洞，该漏洞源于可以制作恶意的pdm.lock文件，允许内部人员或恶意开源项目看似依赖于受信任的PyPI项目，但实际上安装另一个项目。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-45805 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-45805 的情报信息

https://peps.python.org/pep-0440/#post-release-spelling x_refsource_MISC
https://github.com/pdm-project/pdm/security/advisories/GHSA-j44v-mmf2-xvm9 x_refsource_CONFIRM
https://github.com/pdm-project/pdm/commit/6853e2642dfa281d4a9958fbc6c95b7e32d84831 x_refsource_MISC
https://github.com/frostming/unearth/blob/eca170d9370ac5032f2e497ee9b1b63823d3fe0f/src/unearth/evaluator.py#L215-L229 x_refsource_MISC
https://github.com/pdm-project/pdm/blob/45d1dfa47d4900c14a31b9bb761e4c46eb5c9442/src/pdm/models/candidates.py#L98-L99 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2023-45805

一、 漏洞 CVE-2023-45805 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-45805 的公开POC

三、漏洞 CVE-2023-45805 的情报信息

一、漏洞 CVE-2023-45805 基础信息