CVE-2025-71344
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
Picklescan w wersjach przed 0.0.30 (dotknięte wersje 0.0.26 i wcześniejsze) nie wykrywa wbudowanej funkcji ensurepip._run_pip podczas skanowania plików pickle, co pozwala atakującym na wykonanie dowolnego kodu. Złośliwe pliki pickle, które zawierają wywołania ensurepip._run_pip w metodach __reduce__, omijają wykrywanie przez picklescan i umożliwiają zdalne wykonanie kodu po wywołaniu pickle.load().
Ocena ryzyka
Organizacje mogą być narażone na zdalne wykonanie kodu przez atakujących, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.30 lub nowszej, aby zabezpieczyć się przed tą podatnością.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.30 (affected versions 0.0.26 and earlier) fails to detect the ensurepip._run_pip built-in function when scanning pickle files, allowing attackers to execute arbitrary code. Malicious pickle files embedding ensurepip._run_pip calls in __reduce__ methods bypass picklescan detection and achieve remote code execution upon pickle.load() invocation.

