CVE-2025-56005
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 97 - wyżej niż 97% wszystkich znanych CVE
Streszczenie
Biblioteka PLY (Python Lex-Yacc) w wersji 3.11 zawiera nieudokumentowaną i niebezpieczną funkcję w parametrze `picklefile` funkcji `yacc()`, która umożliwia zdalne wykonanie kodu (RCE) poprzez deserializację złośliwego pliku `.pkl` bez walidacji. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu, co stwarza ryzyko backdoora i trwałej obecności w systemie.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości zdalnego przejęcia kontroli nad systemem, w którym używana jest podatna wersja biblioteki PLY, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub trwałego naruszenia integralności systemu.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie biblioteki PLY do najnowszej dostępnej wersji, która usuwa tę lukę, oraz unikanie używania parametru `picklefile` w funkcji `yacc()`. Należy również przeprowadzić audyt kodu w poszukiwaniu potencjalnych exploitów.
Oryginalny opis (angielski, źródło NVD)
An undocumented and unsafe feature in the PLY (Python Lex-Yacc) library 3.11 allows Remote Code Execution (RCE) via the `picklefile` parameter in the `yacc()` function. This parameter accepts a `.pkl` file that is deserialized with `pickle.load()` without validation. Because `pickle` allows execution of embedded code via `__reduce__()`, an attacker can achieve code execution by passing a malicious pickle file. The parameter is not mentioned in official documentation or the GitHub repository, yet it is active in the PyPI version. This introduces a stealthy backdoor and persistence risk. NOTE: A third-party states that this vulnerability should be rejected because the proof of concept does not demonstrate arbitrary code execution and fails to complete successfully.

