picklescan before 0.0.30 fails to detect malicious pickle files using idlelib.pyshell.ModifiedInterpreter.runcommand in reduce methods. Attackers can embed undetected code in pickle files that executes remote commands when loaded by victims.
oryginał ENCVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMmaitre314 Picklescan
APPMmaitre314< 0.0.30
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Powiązane podatności
CVE-2025-10155CRITICAL9.3PL ✓ten sam produkt
Obejście skanowania plików pickle przez nieprawidłową walidację rozszerzeń PyTorch
CVE-2025-10157CRITICAL9.3PL ✓ten sam produkt
Obejście mechanizmu ochrony w Picklescan przez submoduły niebezpiecznych pakietów
CVE-2025-10156CRITICAL9.3PL ✓ten sam produkt
Picklescan: Ominięcie skanowania bezpieczeństwa przez błędny CRC w archiwum ZIP
CVE-2025-71348HIGH7.6ten sam produkt
picklescan before 0.0.28 fails to detect malicious pickle files that invoke torch.utils._config_module.load_co...
CVE-2025-71378HIGH7.6ten sam produkt
picklescan before 0.0.30 fails to detect cProfile.runctx function calls in pickle file reduce methods, allowin...