Katalog CVE

CVE-2026-56315

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Picklescan przed wersją 1.0.4 nie blokuje przynajmniej siedmiu modułów standardowej biblioteki Pythona, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które importują te nieblokowane moduły, omijając walidację bezpieczeństwa picklescan.

Ocena ryzyka

Organizacje są narażone na zdalne wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Wykorzystanie tej podatności może umożliwić atakującym pełną kontrolę nad systemem.

Rekomendacja

Zaleca się aktualizację picklescan do wersji 1.0.4 lub nowszej, aby zablokować dostęp do niebezpiecznych modułów. Dodatkowo, należy przeprowadzić audyt istniejących plików pickle w celu identyfikacji potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

picklescan before 1.0.4 fails to block at least seven Python standard library modules (including uuid, _osx_support, _aix_support, _pyrepl.pager, and imaplib) exposing eight functions that provide direct arbitrary command execution. Attackers can craft malicious pickle files importing these unblocked modules to achieve remote code execution while bypassing picklescan's safety validation entirely.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS