CVE-2025-71358
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 - wyżej niż 16% wszystkich znanych CVE
Streszczenie
Picklescan w wersjach przed 0.0.29 nie wykrywa złośliwych plików pickle, które wykorzystują funkcję idlelib.autocomplete.AutoComplete.get_entity w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje dowolne polecenia po załadowaniu przez ofiary przy użyciu pickle.load().
Ocena ryzyka
Organizacje mogą być narażone na wykonanie złośliwego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemami. Wykorzystanie tej podatności może skutkować poważnymi konsekwencjami dla bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.29 lub nowszej, aby zminimalizować ryzyko związane z tą podatnością. Dodatkowo, należy unikać ładowania plików pickle z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.29 fails to detect malicious pickle files that exploit idlelib.autocomplete.AutoComplete.get_entity function in reduce methods. Attackers can embed undetected code in pickle files that executes arbitrary commands when loaded by victims using pickle.load().

