Katalog CVE

CVE-2025-71363

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.59%

Percentyl 44 — wyżej niż 44% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.30 nie wykrywa wywołań funkcji cProfile.run w metodach reduce pickle, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle z ładunkiem cProfile.run, które omijają detekcję picklescan i prowadzą do wykonania kodu podczas deserializacji.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie dowolnego kodu poprzez deserializację złośliwych plików pickle, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.30 lub nowszej, która zawiera poprawkę wykrywającą wywołania cProfile.run. Dodatkowo warto rozważyć ograniczenie deserializacji niezaufanych danych pickle.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.30 fails to detect cProfile.run function calls in pickle reduce methods, allowing attackers to execute arbitrary code. Remote attackers can craft malicious pickle files with cProfile.run payloads that bypass picklescan detection and achieve code execution upon deserialization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS