BDU:2025-15286

Опубликовано: 29 июн. 2025

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость сканера безопасности для анализа файлов Pickle Python Picklescan связана с недостаточной обработкой исключительных состояний при обработке ZIP-архивов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и выполнить произвольный код

Вендор

Matthieu Maitre

Наименование ПО

Picklescan

Версия ПО

до 0.0.30 включительно (Picklescan)

Тип ПО

Средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/mmaitre314/picklescan/commit/28a7b4ef753466572bda3313737116eeb9b4e5c5

https://github.com/mmaitre314/picklescan/releases/tag/v0.0.31

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-10156
CVE

EPSS

Процентиль: 57%

0.00355

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-10156

CVSS3: 9.8

nvd

5 месяцев назад

An Improper Handling of Exceptional Conditions vulnerability in the ZIP archive scanning component of mmaitre314 picklescan allows a remote attacker to bypass security scans. This is achieved by crafting a ZIP archive containing a file with a bad Cyclic Redundancy Check (CRC), which causes the scanner to halt and fail to analyze the contents for malicious pickle files. When the file incorrectly considered safe is loaded, it can lead to the execution of malicious code.

GHSA-mjqp-26hc-grxg

CVSS3: 7.5

github