Katalog CVE

CVE-2025-71374

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.64%

Percentyl 46 — wyżej niż 46% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.29 nie wykrywa wbudowanej funkcji profile.Profile.run używanej w metodach reduce pickle'a, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które omijają detekcję picklescan i prowadzą do wykonania kodu podczas deserializacji.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie dowolnego kodu przez atakującego, który dostarczy spreparowany plik pickle do systemu używającego picklescan do skanowania. Może to prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszej eskalacji uprawnień.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.29 lub nowszej. Dodatkowo warto rozważyć użycie dodatkowych mechanizmów bezpieczeństwa, takich jak sandboxing procesów deserializacji pickle.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.29 fails to detect the built-in python profile.Profile.run function when used in pickle reduce methods, allowing attackers to execute arbitrary code. Remote attackers can craft malicious pickle files that bypass picklescan detection and achieve code execution upon deserialization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS