Katalog CVE

CVE-2025-69872

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.51%

Percentyl 40 - wyżej niż 40% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece DiskCache (python-diskcache) do wersji 5.6.3 polega na domyślnym używaniu modułu pickle do serializacji danych. Atakujący z dostępem do zapisu w katalogu cache może uzyskać zdalne wykonanie kodu, gdy ofiara odczyta dane z cache.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia kontroli nad aplikacją przez atakującego, który ma dostęp do zapisu w katalogu cache. Może to prowadzić do kradzieży danych, modyfikacji systemu lub dalszego rozprzestrzeniania się ataku w sieci.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki DiskCache do najnowszej wersji, która nie używa domyślnie pickle. Jeśli aktualizacja nie jest możliwa, należy skonfigurować alternatywny serializator, np. JSON, oraz ograniczyć dostęp do katalogu cache tylko dla zaufanych procesów.

Oryginalny opis (angielski, źródło NVD)

DiskCache (python-diskcache) through 5.6.3 uses Python pickle for serialization by default. An attacker with write access to the cache directory can achieve arbitrary code execution when a victim application reads from the cache.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS