CVE-2026-53872
WysokieCVSS 7.5Streszczenie
Picklescan w wersjach przed 0.0.35 zawiera podatność na niebezpieczną deserializację pickle, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików serwera poprzez łańczenie io.FileIO i urllib.request.urlopen.
Ocena ryzyka
Atakujący mogą obejść blokady skoncentrowane na zdalnym wykonywaniu kodu (RCE) i wykradać wrażliwe dane, takie jak /etc/passwd, na zewnętrzne serwery.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.35 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.35 contains an unsafe pickle deserialization vulnerability allowing unauthenticated attackers to read arbitrary server files by chaining io.FileIO and urllib.request.urlopen. Attackers can bypass RCE-focused blocklists to exfiltrate sensitive data like /etc/passwd to external servers.

