漏洞概述

CVE-2026-22041 是 Logging Redactor Python 库中的一个安全漏洞，评级为低严重性。Logging Redactor 是一个用于基于正则表达式模式和/或字典键来在日志中隐藏敏感数据的库。在该库的 0.0.6 版本之前，存在一个缺陷：非字符串类型会被转换为字符串类型，这导致在使用 %d 进行格式化转换时出现类型错误。此问题已在 0.0.6 版本中得到修复。

技术细节与影响

• 漏洞本质：该漏洞被归类为 CWE-704: 不正确的类型转换或强制类型转换。具体表现为，库在处理日志数据时，未能正确处理非字符串类型的对象（如整数、字典等），而是将其统一转换为字符串，这与某些日志格式化字符串（如期待数字的 %d）的预期不匹配，从而引发错误。
• 影响版本：所有低于 0.0.6 的版本均受影响。
• 已修复版本：0.0.6。
• 临时解决方案：除了升级到已修复版本外，没有其他已知的临时解决方案。

修复内容与版本更新

在 Logging Redactor 0.0.6 版本（发布于 2025-01-03） 中，主要进行了以下修复和改进：

1. 修复的问题：解决了由 @mtahirtariq 报告的 #7 号问题（即此类型转换漏洞）。
2. 新增功能：隐藏功能现已应用于通用的映射类型，包括：
   • dict
   • collections.OrderedDict
   • frozendict.frozendict
   • collections.ChainMap
   • types.MappingProxyType
   • collections.UserDict
   • 以及任何其他继承自 collections.Mapping 的映射类。

安全评分与指标

• CVSS 4.0 评分：2.0（低危）。
• CVSS 4.0 向量：CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P
  • 攻击向量（AV）：本地（L）
  • 对系统完整性的影响（VI）：低（L）
• EPSS 评分：0.013%（预计未来30天内被利用的概率较低，位于第2百分位）。

参考资源

• GitHub 公告数据库：GHSA-rvjx-cfjh-5mc9
• GitHub 问题报告：armurox/loggingredactor#7
• 修复版本发布页：https://github.com/armurox/loggingredactor/releases/tag/0.0.6

总结与建议

CVE-2026-22041 暴露了在日志处理库中进行数据清洗和类型处理时可能出现的边界情况。虽然此漏洞的严重性较低，且需要特定的本地条件才能触发，但它可能导致应用程序日志记录功能异常或失败。强烈建议所有使用 Logging Redactor 库的用户立即升级到 0.0.6 或更高版本，以确保代码的稳定性和安全性。开发者应关注其依赖项的安全公告，并定期更新以规避已知风险。