CVE-2025-71374
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 46 — wyżej niż 46% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.29 nie wykrywa wbudowanej funkcji profile.Profile.run używanej w metodach reduce pickle'a, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które omijają detekcję picklescan i prowadzą do wykonania kodu podczas deserializacji.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie dowolnego kodu przez atakującego, który dostarczy spreparowany plik pickle do systemu używającego picklescan do skanowania. Może to prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszej eskalacji uprawnień.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.29 lub nowszej. Dodatkowo warto rozważyć użycie dodatkowych mechanizmów bezpieczeństwa, takich jak sandboxing procesów deserializacji pickle.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.29 fails to detect the built-in python profile.Profile.run function when used in pickle reduce methods, allowing attackers to execute arbitrary code. Remote attackers can craft malicious pickle files that bypass picklescan detection and achieve code execution upon deserialization.

