Katalog CVE

CVE-2025-71357

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 - wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.30 pozwala na ominięcie detekcji złośliwych plików pickle. Atakujący mogą wykorzystać metodę idlelib.pyshell.ModifiedInterpreter.runcommand w funkcjach reduce, aby ukryć kod wykonujący zdalne polecenia podczas wczytywania pliku przez ofiarę.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez wczytanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Należy niezwłocznie zaktualizować picklescan do wersji 0.0.30 lub nowszej. Przed aktualizacją zaleca się wstrzymanie przetwarzania plików pickle z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.30 fails to detect malicious pickle files using idlelib.pyshell.ModifiedInterpreter.runcommand in reduce methods. Attackers can embed undetected code in pickle files that executes remote commands when loaded by victims.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS