PT-2026-52617 · Picklescan · Picklescan

Fredericdt

Publicado

2026-06-25

Atualizado

2026-06-25

CVE-2025-71340

CVSS v3.1

8.1

Alta

Vetor

AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

picklescan through 0.0.26 fails to detect malicious pickle files that invoke idlelib.pyshell.ModifiedInterpreter.runcode in reduce methods. Attackers can embed undetected code in pickle files that executes arbitrary commands when the file is loaded via pickle.load(), enabling supply chain attacks on PyTorch models and saved Python objects. This is fixed in version 0.0.30.

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

CVE-2025-71340

Produtos afetados

Picklescan

PT-2026-52617 · Picklescan · Picklescan

CVE-2025-71340

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 3