Abersheeran

**Nome do software vulnerável e versões afetadas** Versões do rpc.py até a 0.6.0 **Descrição** A vulnerabilidade permite a execução remota de código porque ocorre um unpickle quando o cabeçalho HTTP `serializer: pickle` é enviado. Embora JSON seja o formato de dados padrão, um cliente não autenticado pode fazer com que os dados sejam processados com unpickle. O mantenedor observa que o rpc.py não foi projetado para uma API aberta ao mundo externo e que, no uso real, solicitações externas não podem acessar o rpc.py. **Recomendações** Para versões até 0.6.0, como solução alternativa temporária, considere excluir `PickleSerializer` de `SERIALIZER NAMES` e `SERIALIZER TYPES` para desativar o pickle, usando o seguinte código: ``` del SERIALIZER NAMES[PickleSerializer.name] del SERIALIZER TYPES[PickleSerializer.content type] ``` Existe uma correção no ramo `master`.