BDU:2025-15287

Опубликовано: 29 июн. 2025

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость функции scan_bytes() сканера безопасности для анализа файлов Pickle Python Picklescan связана с некорректной проверкой расширения файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и выполнить произвольный код

Вендор

Matthieu Maitre

Наименование ПО

Picklescan

Версия ПО

до 0.0.30 включительно (Picklescan)

Тип ПО

Средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/mmaitre314/picklescan/commit/28a7b4ef753466572bda3313737116eeb9b4e5c5

https://github.com/mmaitre314/picklescan/releases/tag/v0.0.31

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-10155
CVE

EPSS

Процентиль: 47%

0.00242

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-10155

CVSS3: 7.8

nvd

5 месяцев назад

An Improper Input Validation vulnerability in the scanning logic of mmaitre314 picklescan versions up to and including 0.0.30 allows a remote attacker to bypass pickle files security checks by supplying a standard pickle file with a PyTorch-related file extension. When the pickle file incorrectly considered safe is loaded, it can lead to the execution of malicious code.

GHSA-jgw4-cr84-mqxg