BDU:2025-15288

Опубликовано: 29 июн. 2025

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость сканера безопасности для анализа файлов Pickle Python Picklescan связана с обходом списка заблокированных опасных импортируемых переменных в результате нарушения механизма защиты данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и выполнить произвольный код

Вендор

Matthieu Maitre

Наименование ПО

Picklescan

Версия ПО

до 0.0.30 включительно (Picklescan)

Тип ПО

Средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/mmaitre314/picklescan/commit/28a7b4ef753466572bda3313737116eeb9b4e5c5

https://github.com/mmaitre314/picklescan/releases/tag/v0.0.31

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-10157
CVE

EPSS

Процентиль: 51%

0.0028

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-10157

CVSS3: 7.8

nvd

5 месяцев назад

A Protection Mechanism Failure vulnerability in mmaitre314 picklescan versions up to and including 0.0.30 allows a remote attacker to bypass the unsafe globals check. This is possible because the scanner performs an exact match for module names, allowing malicious payloads to be loaded via submodules of dangerous packages (e.g., 'asyncio.unix_events' instead of 'asyncio'). When the incorrectly considered safe file is loaded after scan, it can lead to the execution of malicious code.

GHSA-f7qq-56ww-84cr

CVSS3: 8.3

github