CVE-2025-71367
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 — wyżej niż 36% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.34 nie wykrywa wywołań funkcji _operator.attrgetter w ładunkach pickle, co umożliwia atakującym ominięcie zabezpieczeń. Zdalni atakujący mogą stworzyć złośliwe pliki pickle używające _operator.attrgetter w metodach reduce do wykonania dowolnego kodu podczas przetwarzania pliku przez pickle.load().
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania dowolnego kodu przez atakującego, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku w sieci organizacji.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.34 lub nowszej, która zawiera poprawkę wykrywającą wywołania _operator.attrgetter. Dodatkowo warto rozważyć użycie bezpieczniejszych metod deserializacji pickle, takich jak weryfikacja pochodzenia plików.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.34 fails to detect _operator.attrgetter function calls in pickle payloads, allowing attackers to bypass security checks. Remote attackers can craft malicious pickle files using _operator.attrgetter in reduce methods to execute arbitrary code when pickle.load() processes the file.

