picklescan before 0.0.30 fails to detect cProfile.runctx function calls in pickle file reduce methods, allowing attackers to execute arbitrary code. Malicious pickle files bypass picklescan detection and execute remote code when loaded via pickle.load().
oryginał ENCVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMmaitre314 Picklescan
APPMmaitre314< 0.0.30
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Powiązane podatności
CVE-2025-10155CRITICAL9.3PL ✓ten sam produkt
Obejście skanowania plików pickle przez nieprawidłową walidację rozszerzeń PyTorch
CVE-2025-10157CRITICAL9.3PL ✓ten sam produkt
Obejście mechanizmu ochrony w Picklescan przez submoduły niebezpiecznych pakietów
CVE-2025-10156CRITICAL9.3PL ✓ten sam produkt
Picklescan: Ominięcie skanowania bezpieczeństwa przez błędny CRC w archiwum ZIP
CVE-2025-71348HIGH7.6ten sam produkt
picklescan before 0.0.28 fails to detect malicious pickle files that invoke torch.utils._config_module.load_co...
CVE-2025-71357HIGH7.6ten sam produkt
picklescan before 0.0.30 fails to detect malicious pickle files using idlelib.pyshell.ModifiedInterpreter.runc...