CVE-2025-71370
WysokieCVSS 8.1Streszczenie
Picklescan w wersjach przed 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.jit.unsupported_tensor_ops.execWrapper osadzonych w plikach pickle. Atakujący mogą stworzyć złośliwe pliki pickle, które omijają detekcję picklescan i wykonują dowolny kod po załadowaniu przez pickle.load().
Ocena ryzyka
Zagrożenie dla organizacji polega na możliwości wykonania dowolnego kodu przez atakującego, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 0.0.28 lub nowszej, aby zabezpieczyć się przed tymi złośliwymi plikami pickle.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.28 fails to detect malicious torch.jit.unsupported_tensor_ops.execWrapper function calls embedded in pickle files. Attackers can craft malicious pickle files that bypass picklescan detection and execute arbitrary code when loaded via pickle.load().

