Katalog CVE

CVE-2026-53874

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.52%

Percentyl 40 — wyżej niż 40% wszystkich znanych CVE

Streszczenie

Picklescan przed wersją 1.0.1 zawiera podatność na niebezpieczną deserializację, która pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu poprzez ukrywanie wywołań eval w obiektach wywoływalnych za pomocą getattr. Atakujący mogą osadzić złośliwy kod w plikach pickle, który unika wykrycia, ale wykonuje się po załadowaniu pickle z nieufnych źródeł.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie złośliwego kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację do wersji 1.0.1 lub nowszej, aby usunąć tę podatność oraz wprowadzenie ścisłych kontroli dotyczących źródeł plików pickle.

Oryginalny opis (angielski, źródło NVD)

picklescan before 1.0.1 contains an unsafe deserialization vulnerability allowing unauthenticated users to execute arbitrary code by hiding eval calls nested under callable objects via getattr. Attackers can embed malicious code in pickle files that evades detection but executes when the pickle is loaded from untrusted sources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS