CVE-2025-71354
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 0.0.29 nie wykrywa złośliwych plików pickle, które wykorzystują funkcję idlelib.debugobj.ObjectTreeItem.SetText w metodach reduce. Atakujący mogą stworzyć pliki pickle z osadzonym kodem, który omija wykrywanie przez picklescan i wykonuje dowolne polecenia po wywołaniu pickle.load().
Ocena ryzyka
Organizacje mogą być narażone na wykonanie złośliwego kodu, co prowadzi do potencjalnych naruszeń bezpieczeństwa i utraty danych. Wykorzystanie tej podatności może umożliwić atakującym przejęcie kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.29 lub nowszej, aby zabezpieczyć się przed tą podatnością. Dodatkowo, należy unikać ładowania plików pickle z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.29 fails to detect malicious pickle files that exploit idlelib.debugobj.ObjectTreeItem.SetText function in reduce methods. Attackers can craft pickle files with embedded code that bypasses picklescan detection and executes arbitrary commands when pickle.load() is called.

