picklescan before 0.0.30 fails to detect cProfile.runctx function calls in pickle file reduce methods, allowing attackers to execute arbitrary code. Malicious pickle files bypass picklescan detection and execute remote code when loaded via pickle.load().
CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMmaitre314 Picklescan
APPMmaitre314< 0.0.30
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
RCEDeserialization
CWE
Related vulnerabilities
CVE-2025-10155CRITICAL9.3PL ✓ten sam produkt
Obejście skanowania plików pickle przez nieprawidłową walidację rozszerzeń PyTorch
CVE-2025-10157CRITICAL9.3PL ✓ten sam produkt
Obejście mechanizmu ochrony w Picklescan przez submoduły niebezpiecznych pakietów
CVE-2025-10156CRITICAL9.3PL ✓ten sam produkt
Picklescan: Ominięcie skanowania bezpieczeństwa przez błędny CRC w archiwum ZIP
CVE-2025-71348HIGH7.6ten sam produkt
picklescan before 0.0.28 fails to detect malicious pickle files that invoke torch.utils._config_module.load_co...
CVE-2025-71357HIGH7.6ten sam produkt
picklescan before 0.0.30 fails to detect malicious pickle files using idlelib.pyshell.ModifiedInterpreter.runc...