PT-2026-2227 · Fickling · Fickling
Thomas Chaufein
+1
·
Publicado
2026-01-09
·
Atualizado
2026-01-11
·
CVE-2026-22607
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Fickling até e incluindo a versão 0.1.6
Descrição
O Fickling, um descompilador e analisador estático de pickle em Python, classifica incorretamente os pickles que utilizam a função
cProfile.run() como SUSPICIOUS em vez de OVERTLY MALICIOUS. Essa classificação incorreta pode levar os usuários a executar código controlado por atacantes se confiarem na saída do Fickling para determinar a segurança do pickle antes da desserialização. Esse problema afeta qualquer fluxo de trabalho ou produto que utilize o Fickling como porta de segurança para a desserialização de pickle.Recomendações
Versões até e incluindo a versão 0.1.6 devem ser atualizadas para a versão 0.1.7 ou superior.
Exploit
Correção
Incomplete List of Disallowed Inputs
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fickling