CVE-2025-71345
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 0.0.30 nie wykrywa złośliwych plików pickle, które wywołują funkcję torch.utils.bottleneck.__main__.run_autograd_prof. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje się podczas deserializacji, umożliwiając zdalne wykonanie kodu.
Ocena ryzyka
Ryzyko polega na tym, że organizacje używające Picklescan do skanowania plików pickle mogą nie wykryć złośliwych danych, co prowadzi do zdalnego wykonania kodu i potencjalnego przejęcia systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację Picklescan do wersji 0.0.30 lub nowszej, która zawiera poprawkę wykrywającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.30 fails to detect malicious pickle files that invoke torch.utils.bottleneck.__main__.run_autograd_prof function. Attackers can embed undetected code in pickle files that executes during deserialization, enabling remote code execution.

