CVE-2025-71366
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 — wyżej niż 36% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.utils.bottleneck.__main__.run_cprofile w plikach pickle, co pozwala atakującym ominąć mechanizmy bezpieczeństwa. Zdalni atakujący mogą osadzić niewykrywalny kod w plikach pickle, prowadząc do zdalnego wykonania kodu po ich załadowaniu przez ofiarę.
Ocena ryzyka
Organizacja narażona jest na ryzyko zdalnego wykonania kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może skutkować przejęciem kontroli nad systemem, kradzieżą danych lub dalszym rozprzestrzenianiem ataku.
Rekomendacja
Należy niezwłocznie zaktualizować picklescan do wersji 0.0.28 lub nowszej, która zawiera poprawkę wykrywającą złośliwe wywołania funkcji. Dodatkowo zaleca się unikanie ładowania plików pickle z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.28 fails to detect malicious torch.utils.bottleneck.__main__.run_cprofile function calls in pickle files, allowing attackers to bypass safety checks. Remote attackers can embed undetected code in pickle files to achieve arbitrary code execution when victims load the files.

