Katalog CVE

CVE-2025-71359

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.29 pozwala na ominięcie detekcji złośliwych ładunków pickle wykorzystujących metodę lib2to3.pgen2.grammar.Grammar.loads w funkcji reduce. Atakujący mogą stworzyć pliki pickle zawierające niebezpieczny kod, który unika wykrycia i wykonuje się podczas deserializacji pickle.load().

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu przez atakującego, który dostarczy spreparowany plik pickle do systemu. Może to prowadzić do przejęcia kontroli nad aplikacją lub serwerem, kradzieży danych lub dalszej eskalacji ataku.

Rekomendacja

Należy niezwłocznie zaktualizować picklescan do wersji 0.0.29 lub nowszej. Dodatkowo warto rozważyć ograniczenie deserializacji pickle tylko do zaufanych źródeł oraz stosowanie alternatywnych, bezpieczniejszych formatów serializacji.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.29 fails to detect malicious pickle payloads that utilize lib2to3.pgen2.grammar.Grammar.loads in the reduce method, allowing remote code execution. Attackers can craft pickle files embedding dangerous code that evades picklescan detection and executes during pickle.load() deserialization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS