GHSA-97w9-v595-3h5q

Опубликовано: 31 окт. 2025

Источник: github

Github: Прошло ревью

CVSS3: 6.9

Описание

cryptidy allows code execution via untrusted data due to pickle.loads

cryptidy through 1.2.4 allows code execution via untrusted data because pickle.loads is used. This occurs in aes_decrypt_message in symmetric_encryption.py.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2025-63675
https://github.com/javiermorales36/cryptidy-analysis
https://github.com/netinvent/cryptidy/blob/cebc9ffd54cc20679d15a1a43ca9a5da645b0c58/cryptidy/symmetric_encryption.py#L220-L238

Пакеты

Наименование

cryptidy

pip

Затронутые версииВерсия исправления

<= 1.2.4

Отсутствует

EPSS

Процентиль: 10%

0.00036

Низкий

6.9 Medium

CVSS3

CVE ID

CVE-2025-63675

Дефекты

CWE-502

Связанные уязвимости

CVE-2025-63675

CVSS3: 6.9

nvd

3 месяца назад

cryptidy through 1.2.4 allows code execution via untrusted data because pickle.loads is used. This occurs in aes_decrypt_message in symmetric_encryption.py.

EPSS

Процентиль: 10%

0.00036

Низкий

6.9 Medium

CVSS3

CVE ID

CVE-2025-63675

Дефекты

CWE-502