CVE-2025-71371
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.29 pozwala na ominięcie detekcji złośliwych plików pickle poprzez użycie metody code.InteractiveInterpreter.runcode w funkcjach reduce. Atakujący mogą stworzyć specjalnie spreparowane ładunki pickle, które po załadowaniu przez pickle.load() wykonają dowolny kod.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie dowolnego kodu (RCE) podczas przetwarzania zaufanych plików pickle, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszej eskalacji ataku.
Rekomendacja
Należy natychmiast zaktualizować picklescan do wersji 0.0.29 lub nowszej. Dodatkowo zaleca się unikanie ładowania plików pickle z niezaufanych źródeł oraz stosowanie alternatywnych, bezpieczniejszych formatów serializacji.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.29 fails to detect malicious pickle files using code.InteractiveInterpreter.runcode in reduce methods. Attackers can craft pickle payloads that bypass picklescan detection and execute arbitrary code when loaded via pickle.load().

