Katalog CVE

CVE-2026-31072

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.81%

Percentyl 52 — wyżej niż 52% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece APScheduler umożliwia zdalne wykonanie kodu (RCE) poprzez niezabezpieczoną deserializację w klasach JSONSerializer i CBORSerializer. Funkcja unmarshal_object pozwala na dowolną inicjalizację klas i wstrzykiwanie stanu przez dynamiczne importowanie modułów i wywoływanie __setstate__ na dowolnej klasie dostępnej w środowisku Python.

Ocena ryzyka

Atakujący może wykorzystać tę podatność, przesyłając spreparowany ładunek JSON lub CBOR do aplikacji używającej tych serializatorów, co może prowadzić do całkowitego przejęcia kontroli nad systemem.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę APScheduler do wersji, która usuwa tę podatność, lub zaprzestać używania JSONSerializer i CBORSerializer do czasu wydania poprawek.

Oryginalny opis (angielski, źródło NVD)

The JSONSerializer and CBORSerializer in APScheduler (all versions including 3.10.x and 4.0.0a5) are vulnerable to Remote Code Execution (RCE) via Insecure Deserialization. The unmarshal_object function allows for arbitrary class instantiation and state injection by dynamically importing modules and calling __setstate__ on any class available in the Python environment. An attacker can exploit this by submitting a specially crafted JSON or CBOR payload to an application using these serializers

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS