CVE-2022-35411

Versões do rpc.py até a 0.6.0

A vulnerabilidade permite a execução remota de código porque ocorre um unpickle quando o cabeçalho HTTP serializer: pickle é enviado. Embora JSON seja o formato de dados padrão, um cliente não autenticado pode fazer com que os dados sejam processados com unpickle. O mantenedor observa que o rpc.py não foi projetado para uma API aberta ao mundo externo e que, no uso real, solicitações externas não podem acessar o rpc.py.

Para versões até 0.6.0, como solução alternativa temporária, considere excluir PickleSerializer de SERIALIZER NAMES e SERIALIZER TYPES para desativar o pickle, usando o seguinte código:

del SERIALIZER NAMES[PickleSerializer.name]

del SERIALIZER TYPES[PickleSerializer.content type]

Existe uma correção no ramo master.