Katalog CVE

CVE-2025-71344

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Picklescan w wersjach przed 0.0.30 (dotknięte wersje 0.0.26 i wcześniejsze) nie wykrywa wbudowanej funkcji ensurepip._run_pip podczas skanowania plików pickle, co pozwala atakującym na wykonanie dowolnego kodu. Złośliwe pliki pickle, które zawierają wywołania ensurepip._run_pip w metodach __reduce__, omijają wykrywanie przez picklescan i umożliwiają zdalne wykonanie kodu po wywołaniu pickle.load().

Ocena ryzyka

Organizacje mogą być narażone na zdalne wykonanie kodu przez atakujących, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację picklescan do wersji 0.0.30 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.30 (affected versions 0.0.26 and earlier) fails to detect the ensurepip._run_pip built-in function when scanning pickle files, allowing attackers to execute arbitrary code. Malicious pickle files embedding ensurepip._run_pip calls in __reduce__ methods bypass picklescan detection and achieve remote code execution upon pickle.load() invocation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS