CVE-2025-71320
KrytyczneCVSS 9.8Streszczenie
Picklescan w wersjach przed 0.0.33 zawiera niekompletną listę zablokowanych funkcji, co pozwala na ominięcie zabezpieczeń związanych z funkcjami pydoc.locate i operator.methodcaller. Atakujący mogą stworzyć złośliwe pliki pickle, które po deserializacji mogą prowadzić do wykonania dowolnego kodu.
Ocena ryzyka
Organizacje są narażone na ataki zdalne, które mogą prowadzić do nieautoryzowanego wykonania kodu, co może skutkować utratą danych lub przejęciem kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.33 lub nowszej, aby zablokować niebezpieczne funkcje i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.33 contains an incomplete deny-list that fails to block pydoc.locate and operator.methodcaller functions, allowing attackers to bypass security checks. Remote attackers can craft malicious pickle files using these unblocked functions to achieve arbitrary code execution when the pickle is deserialized.

