CVE-2025-71351
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
Picklescan w wersjach przed 0.0.25 nie wykrywa złośliwych plików pickle, które wykorzystują timeit.timeit() w metodzie __reduce__, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć pliki pickle, które importują niebezpieczne biblioteki, takie jak os, i wykonują dowolne polecenia systemowe.
Ocena ryzyka
Organizacja jest narażona na zdalne wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Wykonanie nieautoryzowanych poleceń systemowych może zagrażać integralności systemów.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.25 lub nowszej, aby zabezpieczyć się przed tą podatnością. Należy również przeprowadzić audyt plików pickle w celu wykrycia potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.25 fails to detect malicious pickle files that use timeit.timeit() in the __reduce__ method, allowing remote code execution. Attackers can craft pickle files that import dangerous libraries like os and execute arbitrary system commands, which evade picklescan detection and execute when pickle.load() is called.

