CVE-2026-56304
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
Picklescan przed wersją 1.0.1 zawiera podatność na niebezpieczną deserializację pickle, która pozwala nieautoryzowanym atakującym na tworzenie dowolnych plików o zerowej wielkości poprzez instancjonowanie klasy logging.FileHandler. Atakujący mogą wykorzystać tę lukę, tworząc złośliwe ładunki pickle, aby obejść blokady RCE i tworzyć pliki blokad lub inne artefakty systemu plików.
Ocena ryzyka
Organizacje mogą być narażone na ataki, które prowadzą do odmowy usługi lub zakłócenia działania aplikacji. Potencjalne stworzenie nieautoryzowanych plików może wpłynąć na integralność systemu.
Rekomendacja
Zaleca się aktualizację do wersji 1.0.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji korzystających z picklescan.
Oryginalny opis (angielski, źródło NVD)
picklescan before 1.0.1 contains an unsafe pickle deserialization vulnerability allowing unauthenticated attackers to create arbitrary zero-byte files via logging.FileHandler class instantiation. Attackers can exploit this by crafting malicious pickle payloads to bypass RCE blocklists and create lock files or other filesystem artifacts, potentially causing denial of service or application disruption.

