CVE-2025-71365
WysokieCVSS 8.1Streszczenie
Picklescan w wersjach przed 0.0.33 nie wykrywa złośliwych plików pickle, które wywołują funkcję numpy.f2py.crackfortran.myeval za pomocą metody reduce. Atakujący mogą stworzyć złośliwe pliki pickle, które zawierają dowolny kod, omijają detekcję picklescan i wykonują zdalny kod po załadowaniu.
Ocena ryzyka
Organizacje mogą być narażone na wykonanie złośliwego kodu w wyniku załadowania złośliwych plików pickle, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.33 lub nowszej, aby zapewnić ochronę przed tymi złośliwymi plikami pickle.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.33 fails to detect malicious pickle files that invoke numpy.f2py.crackfortran.myeval function through the reduce method. Attackers can craft malicious pickle files embedding arbitrary code that evades picklescan detection and executes remote code when loaded.

