PT-2026-2228 · Fickling · Fickling

0X-Apollyon

·

Publicado

2026-01-09

·

Atualizado

2026-01-10

·

CVE-2026-22608

CVSS v4.0

9.3

Crítica

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Versões do Fickling anteriores à 0.1.7
Descrição O Fickling, um descompilador e analisador estático de pickling em Python, não bloqueia explicitamente os módulos ctypes e pydoc em versões anteriores à 0.1.7. A combinação desses módulos pode levar à Execução Remota de Código (RCE), mesmo quando o scanner classifica o arquivo como LIKELY SAFE. O problema ocorre porque ferramentas de varredura de pickle existentes, como o picklescan, também não bloqueiam o pydoc.locate.
Recomendações Atualize para a versão 0.1.7 do Fickling ou posterior.

Exploit

Correção

RCE

Incomplete List of Disallowed Inputs

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-184CWE-502

Identificadores relacionados

CVE-2026-22608
GHSA-5HVC-6WX8-MVV4

Produtos afetados

Fickling