CVE-2025-71322
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 — wyżej niż 30% wszystkich znanych CVE
Streszczenie
PickleScan w wersji przed 0.0.33 nie uwzględnia funkcji pty.spawn na liście niebezpiecznych globalnych, co pozwala atakującym na ominięcie kontroli bezpieczeństwa. Złośliwi aktorzy mogą stworzyć ładunki pickle wykorzystujące pty.spawn do osiągnięcia dowolnego wykonania kodu podczas przetwarzania plików przez PickleScan.
Ocena ryzyka
Organizacje mogą być narażone na poważne zagrożenia związane z wykonaniem dowolnego kodu, co może prowadzić do utraty danych lub przejęcia systemów.
Rekomendacja
Zaleca się aktualizację PickleScan do wersji 0.0.33 lub nowszej, aby zabezpieczyć się przed tą podatnością.
Oryginalny opis (angielski, źródło NVD)
PickleScan before 0.0.33 fails to include the pty.spawn function in its unsafe globals list, allowing attackers to bypass security checks. Malicious actors can craft pickle payloads using pty.spawn to achieve arbitrary code execution when files are processed by PickleScan.

