Katalog CVE

CVE-2025-71368

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.77%

Percentyl 51 — wyżej niż 51% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.30 nie wykrywa funkcji doctest.debug_script podczas analizy plików pickle, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle zawierające wywołania doctest.debug_script, które omijają detekcję picklescan i wykonują dowolne polecenia po załadowaniu pliku przez pickle.load.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie dowolnego kodu poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku w sieci wewnętrznej.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.30 lub nowszej, która zawiera poprawkę wykrywającą funkcję doctest.debug_script. Dodatkowo zaleca się unikanie ładowania plików pickle z niezaufanych źródeł oraz stosowanie mechanizmów walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.30 fails to detect the doctest.debug_script function when analyzing pickle files, allowing attackers to execute arbitrary code. Remote attackers can craft malicious pickle files embedding doctest.debug_script calls that bypass picklescan detection and execute arbitrary commands upon pickle.load invocation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS