Pubblicato il 2026-06-30 · Fonte: NVD NIST
La vulnerabilità CVE-2025-71368 colpisce la versione di picklescan precedente alla 0.0.30, consentendo agli attaccanti di eseguire codice arbitrario attraverso l'analisi di file pickle malintenzionati. Il problema deriva dalla mancata rilevazione della funzione doctest.debug_script da parte di picklescan. La CVSS Score di 8.1 indica un impatto alto. La CWE-502 è associata a questa vulnerabilità, che non è attualmente sfruttata.
Un attaccante può creare file pickle malintenzionati che incorporano la funzione doctest.debug_script, bypassando la rilevazione di picklescan e consentendo l'esecuzione di comandi arbitrari quando viene invocata la funzione pickle.load. Ciò potrebbe portare a conseguenze gravi, come l'esecuzione di codice malevolo sul sistema bersaglio.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare picklescan alla versione 0.0.30 o successiva. In assenza di un aggiornamento disponibile, è importante adottare pratiche di sicurezza generali, come il controllo rigoroso delle fonti dei file pickle e la limitazione dell'esecuzione di codice arbitrario. Inoltre, è fondamentale mantenere aggiornati tutti i sistemi e le applicazioni per prevenire lo sfruttamento di vulnerabilità note.
La vulnerabilità CVE-2025-71368 è una vulnerabilità di esecuzione di codice arbitrario in picklescan che consente agli attaccanti di eseguire codice malevolo attraverso file pickle malintenzionati.
L'impatto della vulnerabilità è alto, con una CVSS Score di 8.1, e potrebbe portare all'esecuzione di codice arbitrario sul sistema bersaglio.
Per proteggersi, è consigliabile aggiornare picklescan alla versione 0.0.30 o successiva e adottare pratiche di sicurezza generali, come il controllo delle fonti dei file pickle e la limitazione dell'esecuzione di codice arbitrario.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.