CVE-2025-71352
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 46 — wyżej niż 46% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.29 nie wykrywa wbudowanej funkcji trace.Trace.runctx w metodach reduce plików pickle, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle z ładunkiem trace.Trace.runctx, które omijają detekcję picklescan i wykonują kod po wywołaniu pickle.load().
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie dowolnego kodu poprzez załadowanie złośliwego pliku pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszego rozprzestrzeniania się ataku w sieci.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.29 lub nowszej, a także rozważyć dodatkowe mechanizmy walidacji plików pickle przed ich załadowaniem.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.29 fails to detect the built-in Python trace.Trace.runctx function when used in pickle file reduce methods, allowing attackers to execute arbitrary code. Remote attackers can craft malicious pickle files with trace.Trace.runctx payloads that bypass picklescan detection and execute code upon pickle.load() invocation.

