Katalog CVE

CVE-2025-71369

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.45%

Percentyl 36 — wyżej niż 36% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.28 pozwala na ominięcie mechanizmów bezpieczeństwa poprzez wykorzystanie torch.utils.data.datapipes.utils.decoder.basichandlers w metodach reduce. Atakujący mogą osadzić w plikach pickle złośliwy kod, który nie zostanie wykryty i wykona się podczas deserializacji.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) podczas przetwarzania złośliwych plików pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszego rozprzestrzeniania ataku w sieci.

Rekomendacja

Należy niezwłocznie zaktualizować picklescan do wersji 0.0.28 lub nowszej. Dodatkowo zaleca się unikanie deserializacji niezaufanych plików pickle oraz wdrożenie dodatkowych mechanizmów walidacji.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.28 fails to detect malicious pickle files that use torch.utils.data.datapipes.utils.decoder.basichandlers in reduce methods, allowing attackers to bypass safety checks. Remote attackers can embed undetected malicious code in pickle files that executes during deserialization, enabling remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS