Katalog CVE

CVE-2025-71366

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.45%

Percentyl 36 — wyżej niż 36% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.utils.bottleneck.__main__.run_cprofile w plikach pickle, co pozwala atakującym ominąć mechanizmy bezpieczeństwa. Zdalni atakujący mogą osadzić niewykrywalny kod w plikach pickle, prowadząc do zdalnego wykonania kodu po ich załadowaniu przez ofiarę.

Ocena ryzyka

Organizacja narażona jest na ryzyko zdalnego wykonania kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może skutkować przejęciem kontroli nad systemem, kradzieżą danych lub dalszym rozprzestrzenianiem ataku.

Rekomendacja

Należy niezwłocznie zaktualizować picklescan do wersji 0.0.28 lub nowszej, która zawiera poprawkę wykrywającą złośliwe wywołania funkcji. Dodatkowo zaleca się unikanie ładowania plików pickle z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.28 fails to detect malicious torch.utils.bottleneck.__main__.run_cprofile function calls in pickle files, allowing attackers to bypass safety checks. Remote attackers can embed undetected code in pickle files to achieve arbitrary code execution when victims load the files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS