CVE-2025-71364
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 — wyżej niż 42% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 0.0.30 nie wykrywa funkcji asyncio.unix_events._UnixSubprocessTransport._start w metodach reduce pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle zawierające tę wbudowaną funkcję, które omijają detekcję, ale wykonują dowolne polecenia po załadowaniu.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku w sieci organizacji.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.30 lub nowszej, która zawiera poprawkę wykrywającą tę podatność. Dodatkowo warto ograniczyć ładowanie plików pickle z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.30 fails to detect the asyncio.unix_events._UnixSubprocessTransport._start function in pickle reduce methods, allowing remote code execution. Attackers can craft malicious pickle files embedding this built-in function that evade detection but execute arbitrary commands when loaded.

