Katalog CVE

CVE-2025-71361

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Picklescan w wersjach przed 0.0.29 nie wykrywa złośliwych wywołań idlelib.calltip.Calltip.fetch_tip w plikach pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą osadzić niewykryte ładunki w plikach pickle, które wykonują dowolny kod po załadowaniu przez pickle.load().

Ocena ryzyka

Organizacje mogą być narażone na zdalne wykonanie kodu, co prowadzi do potencjalnej utraty danych lub przejęcia kontroli nad systemem. Wykorzystanie tej podatności może skutkować poważnymi konsekwencjami dla bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację picklescan do wersji 0.0.29 lub nowszej, aby zabezpieczyć się przed tą podatnością. Dodatkowo, należy unikać ładowania plików pickle z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.29 fails to detect malicious idlelib.calltip.Calltip.fetch_tip calls in pickle files, allowing remote code execution. Attackers can embed undetected payloads in pickle files that execute arbitrary code when loaded via pickle.load().

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS