CVE-2025-71339
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 0.0.33 nie wykrywa gadżetu numpy.f2py.crackfortran._eval_length w metodach __reduce__ pickle, co umożliwia wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które wykonują dowolny kod Pythona, gdy są ładowane przez ofiary ufające walidacji bezpieczeństwa Picklescan.
Ocena ryzyka
Organizacje mogą być narażone na wykonanie złośliwego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemami. Zaufanie do walidacji bezpieczeństwa Picklescan może być niebezpieczne w przypadku nieodpowiednich plików pickle.
Rekomendacja
Zaleca się aktualizację Picklescan do wersji 0.0.33 lub nowszej, aby zlikwidować tę podatność. Należy również unikać ładowania plików pickle z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
Picklescan before 0.0.33 fails to detect the numpy.f2py.crackfortran._eval_length gadget in pickle __reduce__ methods, allowing arbitrary code execution. Attackers can craft malicious pickle files that execute arbitrary Python code when loaded by victims who trust Picklescan's safety validation.

