CVE-2025-71343
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.30 pozwala na ominięcie detekcji złośliwych plików pickle wykorzystujących funkcję lib2to3.pgen2.pgen.ParserGenerator.make_label w metodzie reduce. Atakujący mogą stworzyć pliki pickle z osadzonym kodem, który unika wykrycia, ale wykonuje dowolne polecenia podczas wywołania pickle.load().
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie dowolnego kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszego rozprzestrzeniania ataku.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.30 lub nowszej. Dodatkowo, unikać ładowania plików pickle z niezaufanych źródeł i rozważyć użycie bezpieczniejszych formatów serializacji.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.30 fails to detect malicious pickle files that exploit lib2to3.pgen2.pgen.ParserGenerator.make_label function in the reduce method. Attackers can craft malicious pickle files with embedded code that evades detection but executes arbitrary commands when pickle.load() is called.

