CVE-2026-25632EPyT-Flow - это пакет Python, предназначенный для легкого генерирования данных о гидравлических и водных сценарных сценариях водораспределительных сетей. До 0,16.1, REST API EPyT-Flow анализирует управляемые злоумышленниками JSON органы запроса, используя пользовательский дезериаизатор (my_load_from_json), который поддерживает поле типа. Когда тип присутствует, дезериаизатор динамически импортирует модуль/класс, указанный злоумышленником, и инстанцифицирует его с помощью аргументов, поставляемых злоумышленником. Это позволяет ссылаться на опасные классы, такие как subprocess.Popen, что может привести к выполнению команды ОС во время разбора JSON. Это также влияет на загрузку файлов JSON. Эта уязвимость зафиксирована в пункте 0.1.1.