python - بيثون 3، هل هناك أي ثقوب أمنية معروفة في ast.literal_eval(node_or_string)؟



security abstract-syntax-tree (1)

الوثائق تنص على أنها آمنة، وليس هناك علة بالنسبة لأمن الحرفي في تعقب علة ، لذلك يمكنك ربما نفترض أنها آمنة.

أيضا، وفقا للمصدر ، حرف حرفي يوزع السلسلة إلى ثعبان أست (شجرة المصدر)، ويعود فقط إذا كان حرفي. لا يتم تنفيذ رمز أبدا، تحليلها فقط، لذلك ليس هناك سبب ليكون خطرا أمنيا.

هل هناك أي طرق معروفة لتقييم ast.literal_eval (node_or_string) حتى لا تكون في الواقع آمنة؟

إذا كانت الإجابة بنعم، هل هناك بقع متاحة لهم؟

(أنا أعرف بالفعل عن بيبي [رمل]، الذي يفترض أكثر أمنا، ولكن ما لم تكن الإجابات نعم ثم لا، احتياجاتي صغيرة بما فيه الكفاية أنني لن أذهب إلى هذا الحد البعيد.)





abstract-syntax-tree