- 19,546
- 42
- 8 Ноя 2022
Каждый загруженный файл мог запустить массовые рыночные манипуляции.
Streamlit, популярный фреймворк с открытым исходным кодом, широко используемый для создания аналитических и машинно-обучающих веб-приложений, оказался под угрозой из-за критической уязвимости в компоненте загрузки файлов. Этот дефект, связанный с отсутствием серверной валидации загружаемых данных, может привести к захвату Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся к конфиденциальным системам, включая финансовые дашборды.
Уязвимость Для просмотра ссылки Войдиили Зарегистрируйся в феврале 2025 года специалистами из исследовательской группы по безопасности приложений Cato Networks. Они показали, как с помощью подмены типа файла в процессе передачи можно обойти ограничения виджета st.file_uploader, встроенного в Streamlit, и загрузить вредоносный контент на сервер.
Несмотря на то, что разработчики фреймворка заявляли о наличии ограничений по типам файлов, проверка фактически выполнялась только на стороне клиента с использованием JavaScript, что делало её легко обходимой при помощи инструментов перехвата трафика, таких как Burp Suite.
Демонстрация сценария атаки, проведённая исследователями, показала, что скомпрометированные Streamlit-приложения могут быть использованы для подмены или модификации данных в реальном времени. В частности, была описана возможность воздействия на финансовые панели, отражающие котировки и данные фондовых рынков. Это открывало путь к влиянию на поведение трейдеров и могло спровоцировать массовые рыночные искажения.
При наличии доступа к уязвимому облачному серверу атакующие могли осуществить запись произвольных файлов, включая перезапись системных элементов — например, authorized_keys для получения доступа по SSH. Также не исключалась реализация атак с использованием обхода директорий, что позволило бы изменить критические файлы на сервере или получить доступ к облачным данным, хранимым в открытом виде.
Streamlit признал наличие проблемы и 11 марта 2025 года выпустил обновление версии 1.43.2, в котором добавил проверку типа загружаемых файлов на серверной стороне. Несмотря на это, компания не инициировала процедуру присвоения уязвимости идентификатора CVE, ссылаясь на то, что основная ответственность якобы лежит на разработчиках приложений, неправильно реализовавших безопасность. Однако Cato Networks настаивает, что вины конечных разработчиков здесь нет, так как платформа вводила в заблуждение относительно уровня предоставляемой защиты.
Этот инцидент продемонстрировал, насколько опасными могут быть недочёты в компонентах популярных фреймворков, особенно в тех, что широко интегрированы в чувствительные среды — от аналитики в здравоохранении до платформ алгоритмической торговли. Учитывая, что Streamlit принадлежит компании Для просмотра ссылки Войдиили Зарегистрируйся и активно используется в облачных инфраструктурах, масштаб возможного ущерба был Для просмотра ссылки Войди или Зарегистрируйся .
Организациям, использующим Streamlit в продуктивных средах, рекомендуется немедленно обновиться до версии 1.43.2 или выше, а также внедрить дополнительные меры защиты: серверную валидацию файлов, ограничения по сети, контроль доступа и мониторинг аномальной активности. Это поможет минимизировать риски повторения подобных атак, особенно в контексте усиливающихся угроз в экосистемах с открытым исходным кодом.
Streamlit, популярный фреймворк с открытым исходным кодом, широко используемый для создания аналитических и машинно-обучающих веб-приложений, оказался под угрозой из-за критической уязвимости в компоненте загрузки файлов. Этот дефект, связанный с отсутствием серверной валидации загружаемых данных, может привести к захвату Для просмотра ссылки Войди
Уязвимость Для просмотра ссылки Войди
Несмотря на то, что разработчики фреймворка заявляли о наличии ограничений по типам файлов, проверка фактически выполнялась только на стороне клиента с использованием JavaScript, что делало её легко обходимой при помощи инструментов перехвата трафика, таких как Burp Suite.
Демонстрация сценария атаки, проведённая исследователями, показала, что скомпрометированные Streamlit-приложения могут быть использованы для подмены или модификации данных в реальном времени. В частности, была описана возможность воздействия на финансовые панели, отражающие котировки и данные фондовых рынков. Это открывало путь к влиянию на поведение трейдеров и могло спровоцировать массовые рыночные искажения.
При наличии доступа к уязвимому облачному серверу атакующие могли осуществить запись произвольных файлов, включая перезапись системных элементов — например, authorized_keys для получения доступа по SSH. Также не исключалась реализация атак с использованием обхода директорий, что позволило бы изменить критические файлы на сервере или получить доступ к облачным данным, хранимым в открытом виде.
Streamlit признал наличие проблемы и 11 марта 2025 года выпустил обновление версии 1.43.2, в котором добавил проверку типа загружаемых файлов на серверной стороне. Несмотря на это, компания не инициировала процедуру присвоения уязвимости идентификатора CVE, ссылаясь на то, что основная ответственность якобы лежит на разработчиках приложений, неправильно реализовавших безопасность. Однако Cato Networks настаивает, что вины конечных разработчиков здесь нет, так как платформа вводила в заблуждение относительно уровня предоставляемой защиты.
Этот инцидент продемонстрировал, насколько опасными могут быть недочёты в компонентах популярных фреймворков, особенно в тех, что широко интегрированы в чувствительные среды — от аналитики в здравоохранении до платформ алгоритмической торговли. Учитывая, что Streamlit принадлежит компании Для просмотра ссылки Войди
Организациям, использующим Streamlit в продуктивных средах, рекомендуется немедленно обновиться до версии 1.43.2 или выше, а также внедрить дополнительные меры защиты: серверную валидацию файлов, ограничения по сети, контроль доступа и мониторинг аномальной активности. Это поможет минимизировать риски повторения подобных атак, особенно в контексте усиливающихся угроз в экосистемах с открытым исходным кодом.
- Источник новости
- www.securitylab.ru
