CVE-2026-53874
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 1.0.1 zawiera podatność na niebezpieczną deserializację, która pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu poprzez ukrywanie wywołań eval w obiektach wywoływalnych za pomocą getattr. Atakujący mogą osadzić złośliwy kod w plikach pickle, który unika wykrycia, ale wykonuje się po załadowaniu pickle z nieufnych źródeł.
Ocena ryzyka
Organizacje mogą być narażone na wykonanie złośliwego kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację do wersji 1.0.1 lub nowszej, aby usunąć tę podatność oraz wprowadzenie ścisłych kontroli dotyczących źródeł plików pickle.
Oryginalny opis (angielski, źródło NVD)
picklescan before 1.0.1 contains an unsafe deserialization vulnerability allowing unauthenticated users to execute arbitrary code by hiding eval calls nested under callable objects via getattr. Attackers can embed malicious code in pickle files that evades detection but executes when the pickle is loaded from untrusted sources.

