Katalog CVE

CVE-2025-71365

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Picklescan w wersjach przed 0.0.33 nie wykrywa złośliwych plików pickle, które wywołują funkcję numpy.f2py.crackfortran.myeval za pomocą metody reduce. Atakujący mogą stworzyć złośliwe pliki pickle, które zawierają dowolny kod, omijają detekcję picklescan i wykonują zdalny kod po załadowaniu.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie złośliwego kodu w wyniku załadowania złośliwych plików pickle, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację picklescan do wersji 0.0.33 lub nowszej, aby zapewnić ochronę przed tymi złośliwymi plikami pickle.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.33 fails to detect malicious pickle files that invoke numpy.f2py.crackfortran.myeval function through the reduce method. Attackers can craft malicious pickle files embedding arbitrary code that evades picklescan detection and executes remote code when loaded.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS