CVE-2026-53873
KrytyczneCVSS 9.8Streszczenie
Picklescan w wersjach przed 1.0.4 zawiera niekompletną listę blokowania dla modułu profilu, co pozwala na wykonanie dowolnego kodu przez atakujących za pomocą funkcji exec(). Atakujący mogą stworzyć złośliwe pliki pickle, które wywołują profile.run(statement), co prowadzi do wykonania dowolnego kodu Pythona.
Ocena ryzyka
Organizacje mogą być narażone na poważne zagrożenia związane z bezpieczeństwem, ponieważ atakujący mogą wykorzystać tę podatność do uruchamiania złośliwego kodu w systemach, które używają podatnej wersji picklescan.
Rekomendacja
Zaleca się aktualizację picklescan do wersji 1.0.4 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji korzystających z tej biblioteki.
Oryginalny opis (angielski, źródło NVD)
picklescan before 1.0.4 contains an incomplete blocklist for the profile module that fails to block the module-level profile.run() function, allowing attackers to achieve arbitrary code execution via exec(). Attackers can craft malicious pickle files calling profile.run(statement) to execute arbitrary Python code while picklescan reports zero security issues.

