Katalog CVE

CVE-2025-71356

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Picklescan przed wersją 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.fx.experimental.symbolic_shapes.ShapeEnv.evaluate_guards_expression w plikach pickle. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalny kod po załadowaniu przez ofiarę.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszej eskalacji ataku.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.28 lub nowszej oraz przeskanować wszystkie istniejące pliki pickle w poszukiwaniu potencjalnie złośliwych ładunków.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.28 fails to detect malicious torch.fx.experimental.symbolic_shapes.ShapeEnv.evaluate_guards_expression function calls in pickle files. Attackers can embed undetected code in pickle files that executes remote code when loaded by victims.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS