Katalog CVE

CVE-2025-71351

WysokieCVSS 7.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

Picklescan w wersjach przed 0.0.25 nie wykrywa złośliwych plików pickle, które wykorzystują timeit.timeit() w metodzie __reduce__, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć pliki pickle, które importują niebezpieczne biblioteki, takie jak os, i wykonują dowolne polecenia systemowe.

Ocena ryzyka

Organizacja jest narażona na zdalne wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Wykonanie nieautoryzowanych poleceń systemowych może zagrażać integralności systemów.

Rekomendacja

Zaleca się aktualizację picklescan do wersji 0.0.25 lub nowszej, aby zabezpieczyć się przed tą podatnością. Należy również przeprowadzić audyt plików pickle w celu wykrycia potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.25 fails to detect malicious pickle files that use timeit.timeit() in the __reduce__ method, allowing remote code execution. Attackers can craft pickle files that import dangerous libraries like os and execute arbitrary system commands, which evade picklescan detection and execute when pickle.load() is called.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS