Katalog CVE

CVE-2025-71360

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.29 polega na braku wykrywania złośliwych plików pickle wykorzystujących funkcję idlelib.calltip.get_entity w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalne polecenia po załadowaniu przez ofiarę.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.29 lub nowszej, która zawiera poprawkę wykrywającą złośliwe pliki pickle z wykorzystaniem funkcji idlelib.calltip.get_entity.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.29 fails to detect malicious pickle files using idlelib.calltip.get_entity function in reduce methods. Attackers can embed undetected code in pickle files that executes remote commands when loaded by victims.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS