CVE-2026-31072
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 52 — wyżej niż 52% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece APScheduler umożliwia zdalne wykonanie kodu (RCE) poprzez niezabezpieczoną deserializację w klasach JSONSerializer i CBORSerializer. Funkcja unmarshal_object pozwala na dowolną inicjalizację klas i wstrzykiwanie stanu przez dynamiczne importowanie modułów i wywoływanie __setstate__ na dowolnej klasie dostępnej w środowisku Python.
Ocena ryzyka
Atakujący może wykorzystać tę podatność, przesyłając spreparowany ładunek JSON lub CBOR do aplikacji używającej tych serializatorów, co może prowadzić do całkowitego przejęcia kontroli nad systemem.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę APScheduler do wersji, która usuwa tę podatność, lub zaprzestać używania JSONSerializer i CBORSerializer do czasu wydania poprawek.
Oryginalny opis (angielski, źródło NVD)
The JSONSerializer and CBORSerializer in APScheduler (all versions including 3.10.x and 4.0.0a5) are vulnerable to Remote Code Execution (RCE) via Insecure Deserialization. The unmarshal_object function allows for arbitrary class instantiation and state injection by dynamically importing modules and calling __setstate__ on any class available in the Python environment. An attacker can exploit this by submitting a specially crafted JSON or CBOR payload to an application using these serializers

