CVE-2025-71357
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 - wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.30 pozwala na ominięcie detekcji złośliwych plików pickle. Atakujący mogą wykorzystać metodę idlelib.pyshell.ModifiedInterpreter.runcommand w funkcjach reduce, aby ukryć kod wykonujący zdalne polecenia podczas wczytywania pliku przez ofiarę.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez wczytanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.
Rekomendacja
Należy niezwłocznie zaktualizować picklescan do wersji 0.0.30 lub nowszej. Przed aktualizacją zaleca się wstrzymanie przetwarzania plików pickle z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.30 fails to detect malicious pickle files using idlelib.pyshell.ModifiedInterpreter.runcommand in reduce methods. Attackers can embed undetected code in pickle files that executes remote commands when loaded by victims.

