Katalog CVE

CVE-2025-71354

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Picklescan przed wersją 0.0.29 nie wykrywa złośliwych plików pickle, które wykorzystują funkcję idlelib.debugobj.ObjectTreeItem.SetText w metodach reduce. Atakujący mogą stworzyć pliki pickle z osadzonym kodem, który omija wykrywanie przez picklescan i wykonuje dowolne polecenia po wywołaniu pickle.load().

Ocena ryzyka

Organizacje mogą być narażone na wykonanie złośliwego kodu, co prowadzi do potencjalnych naruszeń bezpieczeństwa i utraty danych. Wykorzystanie tej podatności może umożliwić atakującym przejęcie kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację picklescan do wersji 0.0.29 lub nowszej, aby zabezpieczyć się przed tą podatnością. Dodatkowo, należy unikać ładowania plików pickle z nieznanych źródeł.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.29 fails to detect malicious pickle files that exploit idlelib.debugobj.ObjectTreeItem.SetText function in reduce methods. Attackers can craft pickle files with embedded code that bypasses picklescan detection and executes arbitrary commands when pickle.load() is called.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS