CVE-2025-71341
WysokieCVSS 8.1Streszczenie
Picklescan w wersjach przed 0.0.29 nie wykrywa funkcji profile.Profile.runctx podczas analizy plików pickle, co pozwala atakującym na osadzenie niezauważonego złośliwego kodu. Zdalni atakujący mogą stworzyć złośliwe pliki pickle wykorzystujące profile.Profile.runctx w metodzie reduce, co prowadzi do zdalnego wykonania kodu po załadowaniu pliku pickle.
Ocena ryzyka
Organizacje mogą być narażone na zdalne wykonanie kodu, co może prowadzić do utraty danych, naruszenia integralności systemów oraz potencjalnych strat finansowych.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.29 lub nowszej, aby zabezpieczyć się przed tą podatnością. Dodatkowo, należy unikać ładowania plików pickle z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.29 fails to detect the profile.Profile.runctx function when analyzing pickle files, allowing attackers to embed undetected malicious code. Remote attackers can craft malicious pickle files using profile.Profile.runctx in the reduce method to achieve remote code execution when the pickle file is loaded.

