CVE-2025-71360
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.29 polega na braku wykrywania złośliwych plików pickle wykorzystujących funkcję idlelib.calltip.get_entity w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalne polecenia po załadowaniu przez ofiarę.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.29 lub nowszej, która zawiera poprawkę wykrywającą złośliwe pliki pickle z wykorzystaniem funkcji idlelib.calltip.get_entity.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.29 fails to detect malicious pickle files using idlelib.calltip.get_entity function in reduce methods. Attackers can embed undetected code in pickle files that executes remote commands when loaded by victims.

