Katalog CVE

CVE-2025-71373

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.44%

Percentyl 36 — wyżej niż 36% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania wywołań funkcji operator.methodcaller w plikach pickle. Umożliwia to atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu poprzez spreparowane ładunki pickle.

Ocena ryzyka

Organizacje używające picklescan do walidacji plików pickle są narażone na zdalne wykonanie kodu, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszej eskalacji ataku.

Rekomendacja

Należy niezwłocznie zaktualizować picklescan do wersji 0.0.33 lub nowszej. Do czasu aktualizacji zaleca się wdrożenie dodatkowych mechanizmów walidacji plików pickle.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.33 fails to detect operator.methodcaller function calls in pickle files, allowing attackers to bypass security checks. Remote attackers can craft malicious pickle payloads using operator.methodcaller that execute arbitrary code when loaded, compromising systems relying on picklescan for validation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS