產生JSON事件記錄的Python程式庫存在高風險漏洞，恐導致任意程式碼執行

已經下架、刪除的Python、NPM套件，一旦攻擊者重新註冊相同的套件名稱，就有機會從事供應鏈攻擊，對引用原本套件的其他套件用戶下手，因此，這種相依性套件因「退場」機制設計不良而可能造成的資安風險，引起研究人員高度關注。

例如，資安研究員Kartik Singh近期通報的資安漏洞，就是這種類型的例子。他指出自去年12月30日至今年3月4日發布的3.2.0、3.2.1版事件記錄轉換套件Python JSON Logger當中，存在潛在的遠端程式碼執行（RCE）漏洞CVE-2025-27607，起因是特定的相依性套件msgspec-python313-pre下架造成，CVSS風險評為8.8，開發團隊也發布3.3.0版緩解這項弱點。由於Python JSON Logger每個月的下載次數超過4,600萬，影響的範圍可能會相當廣泛。

這項弱點發生的原因，在於該相依性套件遭到經營者刪除，導致該套件名稱有可能被其他第三方單位採用，使得採用3.13版Python環境的Python JSON Logger用戶，將因此曝露於RCE的資安風險之中。根據Kartik Singh的初步評估，這項弱點目前尚未出現遭到惡意利用的跡象，PyPI也出手回收這個套件名稱，以防遭到濫用。

為了驗證這項弱點能夠實際被利用，Kartik Singh嘗試發布相同名稱的PyPI套件來進行驗證，隨後又將其刪除，避免實質對Python JSON Logger用戶造成影響。