Pubblicato il 2026-06-30 · Fonte: NVD NIST
La vulnerabilità CVE-2025-71349 riguarda il tool picklescan, che non rileva la funzione built-in trace.Trace.run quando analizza i file pickle. Ciò consente agli attaccanti di incorporare codice malintenzionato non rilevato. La versione interessata è precedente alla 0.0.29. La CWE associata è CWE-502, che si riferisce all'invocazione di metodi non autorizzati.
Un attaccante può sfruttare questa vulnerabilità creando file pickle malintenzionati che utilizzano la funzione trace.Trace.run nel metodo reduce. Quando il file viene elaborato da pickle.load, ciò può portare all'esecuzione di codice arbitrario. I sistemi che utilizzano versioni di picklescan precedenti alla 0.0.29 sono a rischio.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare picklescan alla versione 0.0.29 o successiva. In assenza di un aggiornamento specifico, è importante adottare pratiche di sicurezza generali, come il controllo degli accessi e la validazione degli input, per ridurre il rischio di esecuzione di codice malintenzionato.
La vulnerabilità CVE-2025-71349 è una debolezza nel tool picklescan che consente l'esecuzione di codice arbitrario in file pickle.
Il CVSS Score di CVE-2025-71349 è 8.1, classificato come alto.
Per proteggersi, è consigliabile aggiornare picklescan alla versione 0.0.29 o successiva e adottare pratiche di sicurezza generali come il controllo degli accessi e la validazione degli input.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.