CVE-2025-71325
KrytyczneCVSS 9.8Streszczenie
Picklescan przed wersją 0.0.27 zawiera błąd w logice analizy w funkcji _list_globals, który występuje podczas obsługi opcode'ów STACK_GLOBAL. Błąd ten pozwala złośliwym plikom pickle na ominięcie detekcji, co może prowadzić do nieoczekiwanych wyjątków.
Ocena ryzyka
Zagrożenie dla organizacji polega na możliwości wykorzystania złośliwych plików pickle, co może prowadzić do nieautoryzowanego dostępu lub innych ataków. W efekcie, systemy mogą być narażone na niebezpieczeństwo, a bezpieczeństwo danych może być zagrożone.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.27 lub nowszej, aby usunąć ten błąd. Dodatkowo, warto wdrożyć dodatkowe mechanizmy skanowania i walidacji plików pickle.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.27 contains a parsing logic error in the _list_globals function when handling STACK_GLOBAL opcodes, failing to track arguments in the correct range and allowing malicious pickle files to bypass detection. Attackers can craft pickle files with arguments at position zero to trigger unexpected exceptions and evade security scanning.

