CVE-2025-71378
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.30 polega na braku wykrywania wywołań funkcji cProfile.runctx w metodach reduce plików pickle. Umożliwia to atakującym ominięcie skanowania i wykonanie dowolnego kodu podczas ładowania złośliwego pliku pickle przez pickle.load().
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) przez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.
Rekomendacja
Należy niezwłocznie zaktualizować picklescan do wersji 0.0.30 lub nowszej. Dodatkowo, unikać ładowania plików pickle z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.30 fails to detect cProfile.runctx function calls in pickle file reduce methods, allowing attackers to execute arbitrary code. Malicious pickle files bypass picklescan detection and execute remote code when loaded via pickle.load().

