Katalog CVE

CVE-2026-53872

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Picklescan w wersjach przed 0.0.35 zawiera podatność na niebezpieczną deserializację pickle, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików serwera poprzez łańczenie io.FileIO i urllib.request.urlopen.

Ocena ryzyka

Atakujący mogą obejść blokady skoncentrowane na zdalnym wykonywaniu kodu (RCE) i wykradać wrażliwe dane, takie jak /etc/passwd, na zewnętrzne serwery.

Rekomendacja

Zaleca się aktualizację picklescan do wersji 0.0.35 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.35 contains an unsafe pickle deserialization vulnerability allowing unauthenticated attackers to read arbitrary server files by chaining io.FileIO and urllib.request.urlopen. Attackers can bypass RCE-focused blocklists to exfiltrate sensitive data like /etc/passwd to external servers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS