Katalog CVE

CVE-2025-71339

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 - wyżej niż 22% wszystkich znanych CVE

Streszczenie

Picklescan przed wersją 0.0.33 nie wykrywa gadżetu numpy.f2py.crackfortran._eval_length w metodach __reduce__ pickle, co umożliwia wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które wykonują dowolny kod Pythona, gdy są ładowane przez ofiary ufające walidacji bezpieczeństwa Picklescan.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie złośliwego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemami. Zaufanie do walidacji bezpieczeństwa Picklescan może być niebezpieczne w przypadku nieodpowiednich plików pickle.

Rekomendacja

Zaleca się aktualizację Picklescan do wersji 0.0.33 lub nowszej, aby zlikwidować tę podatność. Należy również unikać ładowania plików pickle z nieznanych źródeł.

Oryginalny opis (angielski, źródło NVD)

Picklescan before 0.0.33 fails to detect the numpy.f2py.crackfortran._eval_length gadget in pickle __reduce__ methods, allowing arbitrary code execution. Attackers can craft malicious pickle files that execute arbitrary Python code when loaded by victims who trust Picklescan's safety validation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS