Katalog CVE

CVE-2025-71353

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.28 pozwala na ominięcie detekcji złośliwych plików pickle. Atakujący mogą wykorzystać funkcję torch._dynamo.guards.GuardBuilder.get w metodach reduce, aby osadzić kod, który unika skanowania i wykonuje dowolne polecenia po załadowaniu.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszego rozprzestrzenienia ataku.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.28 lub nowszej. Dodatkowo, wdrożyć mechanizmy walidacji i ograniczenia ładowania plików pickle z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.28 fails to detect malicious pickle files that exploit torch._dynamo.guards.GuardBuilder.get function in reduce methods. Attackers can craft pickle files with embedded code that evades picklescan detection and executes arbitrary commands when loaded.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS