Katalog CVE

CVE-2025-71371

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.29 pozwala na ominięcie detekcji złośliwych plików pickle poprzez użycie metody code.InteractiveInterpreter.runcode w funkcjach reduce. Atakujący mogą stworzyć specjalnie spreparowane ładunki pickle, które po załadowaniu przez pickle.load() wykonają dowolny kod.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie dowolnego kodu (RCE) podczas przetwarzania zaufanych plików pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszej eskalacji ataku.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.29 lub nowszej. Dodatkowo zaleca się unikanie ładowania plików pickle z niezaufanych źródeł oraz stosowanie alternatywnych, bezpieczniejszych formatów serializacji.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.29 fails to detect malicious pickle files using code.InteractiveInterpreter.runcode in reduce methods. Attackers can craft pickle payloads that bypass picklescan detection and execute arbitrary code when loaded via pickle.load().

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS