Katalog CVE

CVE-2025-71350

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 32 — wyżej niż 32% wszystkich znanych CVE

Streszczenie

Picklescan przed wersją 0.0.28 nie wykrywa złośliwych plików pickle wykorzystujących funkcję torch.utils.collect_env.run w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalne polecenia po załadowaniu przez ofiarę.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Należy niezwłocznie zaktualizować picklescan do wersji 0.0.28 lub nowszej oraz unikać ładowania plików pickle z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.28 fails to detect malicious pickle files using torch.utils.collect_env.run function in reduce methods. Attackers can embed undetected code in pickle files that executes remote commands when loaded by victims.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS