Podatność klasy Improper Input Validation w narzędziu picklescan umożliwia atakującemu zdalne ominięcie mechanizmów bezpieczeństwa przez dostarczenie złośliwego pliku pickle z rozszerzeniem charakterystycznym dla plików PyTorch. Skutkiem jest niezauważone przez skaner wykonanie złośliwego kodu przy ładowaniu pliku.
▸ Pokaż oryginał (EN)
An Improper Input Validation vulnerability in the scanning logic of mmaitre314 picklescan versions up to and including 0.0.30 allows a remote attacker to bypass pickle files security checks by supplying a standard pickle file with a PyTorch-related file extension. When the pickle file incorrectly considered safe is loaded, it can lead to the execution of malicious code.
Logika skanowania w picklescan nieprawidłowo klasyfikuje pliki pickle posiadające rozszerzenia powiązane z PyTorch (np. .pt, .pth) jako bezpieczne, pomijając właściwą weryfikację ich zawartości. Atakujący może przygotować standardowy plik pickle zawierający złośliwy payload i nadać mu takie rozszerzenie. Plik taki przechodzi kontrolę bezpieczeństwa bez wykrycia osadzonych operatorów deserializacji. Gdy ofiara załaduje nieoznaczony jako niebezpieczny plik, dochodzi do wykonania zawartego w nim złośliwego kodu.
Atakujący może doprowadzić do wykonania dowolnego kodu na maszynie ofiary w momencie deserializacji spreparowanego pliku. W połączeniu z brakiem uwierzytelnienia wymaganego do dostarczenia pliku, skutki obejmują pełne przejęcie środowiska uruchomieniowego (RCE).
Należy zaktualizować picklescan do wersji wyższej niż 0.0.30. Szczegóły dotyczące patcha dostępne są w oficjalnym security advisory projektu pod adresem: https://github.com/mmaitre314/picklescan/security/advisories/GHSA-jgw4-cr84-mqxg
mmaitre314 picklescan w wersjach do 0.0.30 włącznie
Podatność dotyczy środowisk MLOps i pipeline'ów uczenia maszynowego wykorzystujących picklescan jako zabezpieczenie przed złośliwymi modelami PyTorch. Szczegóły techniczne wraz z wskazaniem konkretnej linii kodu źródłowego (scanner.py, linia 463) zostały opublikowane w referencjach.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMmaitre314 Picklescan
APPMmaitre314< 0.0.31
Powiązane podatności
Obejście mechanizmu ochrony w Picklescan przez submoduły niebezpiecznych pakietów
Picklescan: Ominięcie skanowania bezpieczeństwa przez błędny CRC w archiwum ZIP
picklescan before 0.0.30 fails to detect malicious pickle files using idlelib.pyshell.ModifiedInterpreter.runc...
picklescan before 0.0.28 fails to detect malicious pickle files that invoke torch.utils._config_module.load_co...
picklescan before 0.0.30 fails to detect cProfile.runctx function calls in pickle file reduce methods, allowin...