CVE-2025-71350
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 — wyżej niż 32% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 0.0.28 nie wykrywa złośliwych plików pickle wykorzystujących funkcję torch.utils.collect_env.run w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalne polecenia po załadowaniu przez ofiarę.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.
Rekomendacja
Należy niezwłocznie zaktualizować picklescan do wersji 0.0.28 lub nowszej oraz unikać ładowania plików pickle z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.28 fails to detect malicious pickle files using torch.utils.collect_env.run function in reduce methods. Attackers can embed undetected code in pickle files that executes remote commands when loaded by victims.

