Katalog CVE

CVE-2025-71345

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

Picklescan przed wersją 0.0.30 nie wykrywa złośliwych plików pickle, które wywołują funkcję torch.utils.bottleneck.__main__.run_autograd_prof. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje się podczas deserializacji, umożliwiając zdalne wykonanie kodu.

Ocena ryzyka

Ryzyko polega na tym, że organizacje używające Picklescan do skanowania plików pickle mogą nie wykryć złośliwych danych, co prowadzi do zdalnego wykonania kodu i potencjalnego przejęcia systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację Picklescan do wersji 0.0.30 lub nowszej, która zawiera poprawkę wykrywającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.30 fails to detect malicious pickle files that invoke torch.utils.bottleneck.__main__.run_autograd_prof function. Attackers can embed undetected code in pickle files that executes during deserialization, enabling remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS