CVE-2025-71375
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 0.0.34 nie wykrywa wbudowanej funkcji _operator.methodcaller podczas skanowania plików pickle w poszukiwaniu złośliwego kodu. Atakujący mogą tworzyć złośliwe ładunki pickle wykorzystujące _operator.methodcaller, które omijają wykrywanie i wykonują dowolny kod po załadowaniu przez pickle.load().
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia systemu lub kradzieży danych.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.34 lub nowszej oraz rozważyć dodatkowe mechanizmy bezpieczeństwa przy ładowaniu plików pickle.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.34 fails to detect the _operator.methodcaller built-in function when scanning pickle files for malicious code. Attackers can craft malicious pickle payloads using _operator.methodcaller that evade detection and execute arbitrary code when loaded by pickle.load().

