发布日期：2024-12-10
更新日期：2025-02-24

受影响系统：

Spotify Luigi < 3.6.0

描述：

---

CVE(CAN) ID: CVE-2024-21542

Luigi是Spotify开源的一个Python软件包，可帮助构建批处理作业的复杂管道。
Luigi 3.6.0之前版本存在路径遍历漏洞，该漏洞源于_extract_packages_archive函数中的目标文件路径验证不正确，攻击者可利用该漏洞进行任意文件写入攻击，甚至执行任意代码。

<**>

建议：

---

厂商补丁：

Spotify
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/spotify/luigi/releases/tag/v3.6.0

浏览次数：148
严重程度：0（网友投票）