事件概述 据The Hacker News报道,在Python模块库中,存在一个一个长达15年未修复的安全漏洞,该漏洞可能导致约35万的项目陷入风险之中。这个存在安全风险的模块为tarfile模块,该模块涉及人工智能/机器学习、网络开发、媒体、安全、IT管理等多个领域。 其实早在2007年,该漏洞就已经被安全研究人员披露,并且标记过CVE-2007-4559,但是至今为止并没有获得正式的修复补丁,该漏洞尚未修复,已被无意间添加到全球几十万个开源和闭源项目中,从而可能造成庞大的软件供应链攻击面。 研究人员在分析影响后…