CVE-2025-71369
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 — wyżej niż 36% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.28 pozwala na ominięcie mechanizmów bezpieczeństwa poprzez wykorzystanie torch.utils.data.datapipes.utils.decoder.basichandlers w metodach reduce. Atakujący mogą osadzić w plikach pickle złośliwy kod, który nie zostanie wykryty i wykona się podczas deserializacji.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) podczas przetwarzania złośliwych plików pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszego rozprzestrzeniania ataku w sieci.
Rekomendacja
Należy niezwłocznie zaktualizować picklescan do wersji 0.0.28 lub nowszej. Dodatkowo zaleca się unikanie deserializacji niezaufanych plików pickle oraz wdrożenie dodatkowych mechanizmów walidacji.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.28 fails to detect malicious pickle files that use torch.utils.data.datapipes.utils.decoder.basichandlers in reduce methods, allowing attackers to bypass safety checks. Remote attackers can embed undetected malicious code in pickle files that executes during deserialization, enabling remote code execution.

