CVE-2025-71356
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.fx.experimental.symbolic_shapes.ShapeEnv.evaluate_guards_expression w plikach pickle. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalny kod po załadowaniu przez ofiarę.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszej eskalacji ataku.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.28 lub nowszej oraz przeskanować wszystkie istniejące pliki pickle w poszukiwaniu potencjalnie złośliwych ładunków.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.28 fails to detect malicious torch.fx.experimental.symbolic_shapes.ShapeEnv.evaluate_guards_expression function calls in pickle files. Attackers can embed undetected code in pickle files that executes remote code when loaded by victims.

