pyasn1 0.5.0 库曝出 2 个高危漏洞，最高严重性达 7.5 分

一个广泛使用的 Python 核心库 pyasn1 的 0.5.0 版本被确认存在两个安全漏洞，其中最高严重性评分为 7.5 分（CVSS v3）。该库是 ASN.1 类型和 DER/BER/CER 编解码器的纯 Python 实现，是许多网络协议、加密和安全工具的基础依赖。此次漏洞的发现直接暴露了依赖该版本的大量软件供应链的安全风险。

漏洞详情显示，问题存在于 `pyasn1-0.5.0-py2.py3-none-any.whl` 这个特定版本中。该库通过 Python 包索引（PyPI）分发，路径通常位于项目的 `requirements.txt` 依赖文件中。虽然报告未披露具体的漏洞利用细节，但 7.5 的 CVSS 评分表明其潜在影响可能涉及权限提升、信息泄露或拒绝服务等关键安全问题。对于任何在生产环境中使用此版本的项目而言，这构成了一个明确且紧迫的威胁。

此次事件再次凸显了开源软件供应链的脆弱性。pyasn1 作为底层基础库，其安全问题会向上游传导，影响所有依赖它的应用程序，尤其是在网络通信、证书处理和加密验证等关键领域。开发者和安全团队必须立即审查其项目依赖，识别并升级受影响的 pyasn1 版本。虽然报告未指明具体的修复版本，但遵循标准的漏洞修复流程——升级到已发布的安全补丁版本——是当前唯一可行的缓解措施。