Katalog CVE

CVE-2025-71347

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.45%

Percentyl 36 — wyżej niż 36% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.33 pozwala na ominięcie zabezpieczeń poprzez wykorzystanie funkcji numpy.f2py.crackfortran.param_eval w metodach reduce. Atakujący mogą osadzić niewykrywalny kod w plikach pickle, który wykonuje się podczas deserializacji.

Ocena ryzyka

Organizacje używające picklescan do skanowania plików pickle są narażone na zdalne wykonanie kodu. Atakujący mogą dostarczyć złośliwy plik pickle, który ominie skaner i wykona dowolny kod w aplikacji przetwarzającej niezaufane dane pickle.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.33 lub nowszej. Dodatkowo, zaleca się unikanie deserializacji niezaufanych plików pickle oraz stosowanie bezpieczniejszych formatów serializacji.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.33 fails to detect malicious pickle files using numpy.f2py.crackfortran.param_eval function in reduce methods, allowing attackers to bypass security checks. Remote attackers can embed undetected code in pickle files that executes during deserialization, enabling arbitrary code execution in applications loading untrusted pickle data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS