Katalog CVE

CVE-2025-71378

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 - wyżej niż 23% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu picklescan przed wersją 0.0.30 polega na braku wykrywania wywołań funkcji cProfile.runctx w metodach reduce plików pickle. Umożliwia to atakującym ominięcie skanowania i wykonanie dowolnego kodu podczas ładowania złośliwego pliku pickle przez pickle.load().

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu (RCE) przez załadowanie spreparowanego pliku pickle, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Należy niezwłocznie zaktualizować picklescan do wersji 0.0.30 lub nowszej. Dodatkowo, unikać ładowania plików pickle z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

picklescan before 0.0.30 fails to detect cProfile.runctx function calls in pickle file reduce methods, allowing attackers to execute arbitrary code. Malicious pickle files bypass picklescan detection and execute remote code when loaded via pickle.load().

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS