Katalog CVE

CVE-2025-71325

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Picklescan przed wersją 0.0.27 zawiera błąd w logice analizy w funkcji _list_globals, który występuje podczas obsługi opcode'ów STACK_GLOBAL. Błąd ten pozwala złośliwym plikom pickle na ominięcie detekcji, co może prowadzić do nieoczekiwanych wyjątków.

Ocena ryzyka

Zagrożenie dla organizacji polega na możliwości wykorzystania złośliwych plików pickle, co może prowadzić do nieautoryzowanego dostępu lub innych ataków. W efekcie, systemy mogą być narażone na niebezpieczeństwo, a bezpieczeństwo danych może być zagrożone.

Rekomendacja

Zaleca się aktualizację picklescan do wersji 0.0.27 lub nowszej, aby usunąć ten błąd. Dodatkowo, warto wdrożyć dodatkowe mechanizmy skanowania i walidacji plików pickle.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.27 contains a parsing logic error in the _list_globals function when handling STACK_GLOBAL opcodes, failing to track arguments in the correct range and allowing malicious pickle files to bypass detection. Attackers can craft pickle files with arguments at position zero to trigger unexpected exceptions and evade security scanning.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS