Pubblicato il 2026-06-30 · Fonte: NVD NIST
La vulnerabilità CVE-2025-71350 colpisce la versione di picklescan precedente alla 0.0.28, permettendo agli attaccanti di inserire codice non rilevato all'interno di file pickle. Ciò avviene attraverso l'utilizzo della funzione torch.utils.collect_env.run all'interno dei metodi di riduzione. Quando un utente carica uno di questi file, il codice malevolo può essere eseguito, permettendo agli attaccanti di eseguire comandi remoti. La CVSS Score di 8.1 indica un impatto alto.
Un attaccante può sfruttare questa vulnerabilità per eseguire comandi remoti sui sistemi che utilizzano versioni di picklescan precedenti alla 0.0.28. Ciò potrebbe portare a violazioni della sicurezza, come l'accesso non autorizzato a dati sensibili o la possibilità di eseguire azioni dannose sui sistemi coinvolti.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare picklescan alla versione 0.0.28 o successiva. In assenza di un aggiornamento disponibile, è fondamentale adottare pratiche di sicurezza generiche, come il controllo degli accessi e la validazione dei file prima del loro utilizzo. Inoltre, è importante mantenere un'attenta vigilanza sulle attività del sistema per rilevare eventuali comportamenti anomali.
La vulnerabilità CVE-2025-71350 è una debolezza nella versione di picklescan precedente alla 0.0.28 che consente agli attaccanti di eseguire codice non rilevato all'interno di file pickle.
L'impatto della vulnerabilità CVE-2025-71350 include la possibilità per gli attaccanti di eseguire comandi remoti sui sistemi che utilizzano versioni di picklescan vulnerabili.
Per proteggersi da questa vulnerabilità, è necessario aggiornare picklescan alla versione 0.0.28 o successiva e adottare pratiche di sicurezza generiche come il controllo degli accessi e la validazione dei file.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.