Katalog CVE

CVE-2026-14535

WysokieCVSS 8.8
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece fickling do wersji 0.1.11 włącznie, analiza UnsafeImportsML zapisuje skrócone reprezentacje importów we współdzielonym zbiorze, co powoduje, że analiza MLAllowlist pomija wszystkie sprawdzenia, uznając je za już zgłoszone. W rezultacie MLAllowlist staje się nieaktywny, a importy modułów spoza listy dozwolonych mogą być traktowane jako bezpieczne.

Ocena ryzyka

Organizacja narażona jest na deserializację złośliwych danych pickle, które mogą wykonać dowolny kod, ponieważ fickling.load() ufa fałszywie pozytywnemu wynikowi LIKELY_SAFE. Atakujący może wykorzystać standardowe moduły biblioteki Pythona, które nie znajdują się na liście blokowanych, do przejęcia systemu.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę fickling do wersji 0.1.12 lub nowszej, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, należy tymczasowo wyłączyć użycie fickling.load() i zastąpić go własną, bezpieczną implementacją deserializacji pickle.

Oryginalny opis (angielski, źródło NVD)

In Trail of Bits fickling versions up to and including 0.1.11, the UnsafeImportsML analysis pass unconditionally calls AnalysisContext.shorten_code(node) on every import node it inspects, regardless of whether the import is flagged as unsafe. This call registers the shortened code representation in the shared AnalysisContext.reported_shortened_code set. When the MLAllowlist analysis pass subsequently runs, it calls the same shorten_code() method, receives already_reported=True for every import, and executes a continue statement that skips its allowlist check entirely. This renders MLAllowlist dead code for all imports — it never evaluates whether an import is in the ML allowlist or not. The MLAllowlist pass was designed to catch imports of modules outside the known-safe ML ecosystem (torch, numpy, transformers, etc.) that slip past the UnsafeImports denylist. With MLAllowlist inoperative, any standard library module not in the UNSAFE_IMPORTS denylist can be invoked via pickle deserialization while fickling's check_safety() returns LIKELY_SAFE. The fickling.load() API chains check_safety() into pickle.loads() as an explicit security gate, meaning a LIKELY_SAFE verdict causes the payload to be deserialized and executed. The root cause is shared mutable state between independently-correct analysis passes — UnsafeImportsML works as designed in isolation, MLAllowlist works as designed in isolation, but the shared reported_shortened_code set causes UnsafeImportsML to poison MLAllowlist's deduplication logic.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS