CVE-2025-71363
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 — wyżej niż 44% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.30 nie wykrywa wywołań funkcji cProfile.run w metodach reduce pickle, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle z ładunkiem cProfile.run, które omijają detekcję picklescan i prowadzą do wykonania kodu podczas deserializacji.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie dowolnego kodu poprzez deserializację złośliwych plików pickle, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.30 lub nowszej, która zawiera poprawkę wykrywającą wywołania cProfile.run. Dodatkowo warto rozważyć ograniczenie deserializacji niezaufanych danych pickle.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.30 fails to detect cProfile.run function calls in pickle reduce methods, allowing attackers to execute arbitrary code. Remote attackers can craft malicious pickle files with cProfile.run payloads that bypass picklescan detection and achieve code execution upon deserialization.

