Katalog CVE

CVE-2025-71362

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania niebezpiecznej deserializacji, gdy funkcje numpy.f2py.crackfortran wywołują eval na dowolnych ciągach znaków. Atakujący mogą osadzić złośliwy kod w plikach pickle, który wykonuje się podczas ładowania z niezaufanych źródeł.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) podczas przetwarzania plików pickle z niezaufanych źródeł, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszego rozprzestrzeniania ataku w sieci.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.33 lub nowszej. Dodatkowo, unikać ładowania plików pickle z niezaufanych źródeł i rozważyć użycie bezpieczniejszych formatów serializacji, takich jak JSON.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.33 fails to detect unsafe deserialization when numpy.f2py.crackfortran functions call eval on arbitrary strings. Attackers can embed malicious code in pickle files that executes when loaded from untrusted sources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS