CVE-2025-61765

Nome do Software Vulnerável e Versões Afetadas Versões do python-socketio anteriores a 5.14.0

Descrição O python-socketio é uma implementação em Python do cliente e servidor em tempo real Socket.IO. Uma vulnerabilidade de execução remota de código no python-socketio permite que atacantes executem código Python arbitrário através da desserialização maliciosa de pickle em implantações com múltiplos servidores, onde o atacante já obteve acesso à fila de mensagens usada para comunicações internas. O problema decorre da desserialização de mensagens usando a função pickle.loads() do Python. Um atacante pode enviar um payload pickle manipulado que executa código arbitrário durante a desserialização via o método reduce do Python. Esta vulnerabilidade afeta apenas implantações com uma fila de mensagens comprometida. O ataque pode permitir que o atacante execute código arbitrário no contexto e com os privilégios de um processo do servidor Socket.IO. Sistemas de servidor único que não utilizam uma fila de mensagens e sistemas com múltiplos servidores com uma fila de mensagens segura não estão vulneráveis.

Recomendações Atualize para o python-socketio versão 5.14.0 ou superior, que remove o módulo pickle e utiliza codificação JSON para mensagens entre servidores.