CVE-2025-71347
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 — wyżej niż 36% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.33 pozwala na ominięcie zabezpieczeń poprzez wykorzystanie funkcji numpy.f2py.crackfortran.param_eval w metodach reduce. Atakujący mogą osadzić niewykrywalny kod w plikach pickle, który wykonuje się podczas deserializacji.
Ocena ryzyka
Organizacje używające picklescan do skanowania plików pickle są narażone na zdalne wykonanie kodu. Atakujący mogą dostarczyć złośliwy plik pickle, który ominie skaner i wykona dowolny kod w aplikacji przetwarzającej niezaufane dane pickle.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.33 lub nowszej. Dodatkowo, zaleca się unikanie deserializacji niezaufanych plików pickle oraz stosowanie bezpieczniejszych formatów serializacji.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.33 fails to detect malicious pickle files using numpy.f2py.crackfortran.param_eval function in reduce methods, allowing attackers to bypass security checks. Remote attackers can embed undetected code in pickle files that executes during deserialization, enabling arbitrary code execution in applications loading untrusted pickle data.

