CVE-2025-71373
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 — wyżej niż 36% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania wywołań funkcji operator.methodcaller w plikach pickle. Umożliwia to atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu poprzez spreparowane ładunki pickle.
Ocena ryzyka
Organizacje używające picklescan do walidacji plików pickle są narażone na zdalne wykonanie kodu, co może prowadzić do przejęcia systemu, kradzieży danych lub dalszej eskalacji ataku.
Rekomendacja
Należy niezwłocznie zaktualizować picklescan do wersji 0.0.33 lub nowszej. Do czasu aktualizacji zaleca się wdrożenie dodatkowych mechanizmów walidacji plików pickle.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.33 fails to detect operator.methodcaller function calls in pickle files, allowing attackers to bypass security checks. Remote attackers can craft malicious pickle payloads using operator.methodcaller that execute arbitrary code when loaded, compromising systems relying on picklescan for validation.

