CVE-2025-62515

Nome do Software Vulnerável e Versões Afetadas Versões do pyquokka 0.3.1 e anteriores Versões do marsupialtail quokka 3.0.1 e anteriores

Descrição O pyquokka contém uma falha crítica de execução remota de código (RCE) decorrente da desserialização insegura de dados recebidos de clientes Flight. A classe FlightServer utiliza pickle.loads() sem sanitização ou validação dentro do método do action(), localizado em pyquokka/flight.py na linha 283. Quando o FlightServer está configurado para escutar em 0.0.0.0, isso permite que atacantes na rede executem código arbitrário enviando payloads pickled maliciosos através da ação set configs. Funções vulneráveis adicionais incluem cache garbage collect, do put e do get, que também usam pickle.loads() para desserializar dados remotos não confiáveis. Um atacante pode explorar isso enviando um dump pickle manipulado, como um payload projetado para executar o comando 'ls -l', levando ao comprometimento completo do sistema, exfiltração de dados e potencial movimento lateral dentro da rede.

Recomendações Versões anteriores a 0.3.1: Substitua pickle.loads() por alternativas mais seguras, como serialização JSON, Protocol Buffers ou MessagePack. Se o pickle precisar ser usado, implemente um Unpickler personalizado com um método find class() restrito que permita apenas classes na whitelist. Versões anteriores a 3.0.1: Substitua pickle.loads() por alternativas mais seguras, como serialização JSON, Protocol Buffers ou MessagePack. Se o pickle precisar ser usado, implemente um Unpickler personalizado com um método find class() restrito que permita apenas classes na whitelist.