CVE-2025-10155

Nome do Software Vulnerável e Versões Afetadas mmaitre314 picklescan versões até e incluindo a 0.0.30

Descrição Existe uma vulnerabilidade de Validação inadequada de entrada na lógica de varredura do picklescan. Esta falha permite que um atacante remoto contorne as verificações de segurança de arquivos pickle fornecendo um arquivo pickle padrão com uma extensão de arquivo relacionada ao PyTorch. Quando o arquivo pickle é incorretamente considerado seguro e carregado, isso pode levar à execução de código malicioso. O problema surge porque o varredor prioriza as verificações de extensão de arquivo do PyTorch e falha em recorrer à análise padrão do pickle ao encontrar um arquivo pickle padrão com uma extensão do PyTorch. Isso permite que atacantes disfarcem payloads maliciosos de pickle dentro de arquivos que, de outra forma, seriam varridos em busca de ameaças baseadas em pickle.

Recomendações Versões anteriores à 0.0.30: Modifique a lógica de varredura para garantir que a varredura padrão do pickle seja tentada como um mecanismo de fallback quando a varredura do PyTorch falhar ou não for aplicável. Especificamente, sempre tente varrer o arquivo como um pickle padrão, independentemente do sucesso ou falha da varredura do PyTorch ou da extensão do arquivo.