Uma vulnerabilidade de execução remota de código (RCE), identificada como CVE-2025-27607, foi descoberta no pacote Python JSON Logger, afetando as versões 3.2.0 e 3.2.1. O problema decorre da ausência de uma dependência chamada msgspec-python313-pre, que havia sido removida do PyPI, abrindo espaço para que um agente malicioso registrasse o nome e publicasse uma versão adulterada do pacote.
A falha, inicialmente classificada como alta (CVSS 8.8), foi posteriormente rebaixada para baixo risco, mas ainda assim evidencia as vulnerabilidades estruturais de segurança em cadeias de suprimentos baseadas em software open-source. O pesquisador responsável, conhecido como @omnigodz, descobriu a brecha durante testes experimentais. Ele registrou a dependência ausente no PyPI, publicou uma versão de demonstração sem código malicioso e depois removeu o conteúdo.
A administração do PyPI bloqueou o nome da dependência, impedindo novas reivindicações. A falha poderia ter sido explorada se um desenvolvedor instalasse a versão comprometida do pacote usando a opção [dev] no Python 3.13.x, o que permitiria a execução de código arbitrário. O pacote python-json-logger, com mais de 46 milhões de downloads mensais, é amplamente usado para gerar logs em formato JSON. O risco atingiria qualquer ambiente que utilizasse versões afetadas e instalasse a dependência maliciosa.
