CVE-2025-71362
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania niebezpiecznej deserializacji, gdy funkcje numpy.f2py.crackfortran wywołują eval na dowolnych ciągach znaków. Atakujący mogą osadzić złośliwy kod w plikach pickle, który wykonuje się podczas ładowania z niezaufanych źródeł.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) podczas przetwarzania plików pickle z niezaufanych źródeł, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszego rozprzestrzeniania ataku w sieci.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.33 lub nowszej. Dodatkowo, unikać ładowania plików pickle z niezaufanych źródeł i rozważyć użycie bezpieczniejszych formatów serializacji, takich jak JSON.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.33 fails to detect unsafe deserialization when numpy.f2py.crackfortran functions call eval on arbitrary strings. Attackers can embed malicious code in pickle files that executes when loaded from untrusted sources.

