Katalog CVE

CVE-2025-71375

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

Picklescan przed wersją 0.0.34 nie wykrywa wbudowanej funkcji _operator.methodcaller podczas skanowania plików pickle w poszukiwaniu złośliwego kodu. Atakujący mogą tworzyć złośliwe ładunki pickle wykorzystujące _operator.methodcaller, które omijają wykrywanie i wykonują dowolny kod po załadowaniu przez pickle.load().

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) poprzez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia systemu lub kradzieży danych.

Rekomendacja

Należy natychmiast zaktualizować picklescan do wersji 0.0.34 lub nowszej oraz rozważyć dodatkowe mechanizmy bezpieczeństwa przy ładowaniu plików pickle.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.34 fails to detect the _operator.methodcaller built-in function when scanning pickle files for malicious code. Attackers can craft malicious pickle payloads using _operator.methodcaller that evade detection and execute arbitrary code when loaded by pickle.load().

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS