Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

nvd,anchore_overrides

Mmaitre314

Уязвимости

8

Эксплуатируемые

0

Критический

3

Высокий

0

Топ продуктов

Топ уязвимостей

CVE-2025-10157Уязвимость в mmaitre314 picklescan позволяет удаленному злоумышленнику обойти проверку небезопасных глобальных переменных, используя подклассы опасных импортов. Исправлено в версии 0.0.31 [1]. Источники: - [1] https://github.com/mmaitre314/picklescan/security/advisories/GHSA-f7qq-56ww-84cr - [2] https://huggingface.co/iluem/linux_pkl/resolve/main/asyncio_asyncio_unix_events___UnixSubprocessTransport__start.pkl - [3] https://github.com/mmaitre314/picklescan/blob/2a8383cfeb4158567f9770d86597300c9e508d0f/src/picklescan/scanner.py#L309

CVE-2025-10156Уязвимость ZIP-архива в компоненте PickleScan приводит к обходу проверок безопасности при обнаружении вредоносных pickle-файлов. Злоумышленники могут обойти сканирование, создав ZIP-архив с испорченной контрольной суммой (CRC), что приводит к остановке сканирования [1]. Источники: - [1] https://github.com/mmaitre314/picklescan/security/advisories/GHSA-mjqp-26hc-grxg

CVE-2025-10155Утилита PickleScan уязвима к обходу обнаружения вредоносных pickle-файлов, когда стандартный pickle-файл имеет расширение, связанное с PyTorch (например, .bin). Это происходит потому, что сканер отдает приоритет проверкам расширений PyTorch и выдает ошибку при разборе стандартного pickle-файла с таким расширением, вместо того, чтобы вернуться к стандартному анализу pickle. Эта уязвимость позволяет злоумышленникам маскировать вредоносные pickle-полезные нагрузки внутри файлов, которые в противном случае были бы проверены на наличие pickle-угроз [1]. Рекомендуемое решение - изменить логику сканирования, чтобы всегда выполнять стандартную проверку pickle в качестве fallback-механизма, когда проверка PyTorch завершается неудачей или не применима [2]. Источники: - [1] https://github.com/mmaitre314/picklescan/security/advisories/GHSA-jgw4-cr84-mqxg - [2] https://github.com/mmaitre314/picklescan/blob/58983e1c20973ac42f2df7ff15d7c8cd32f9b688/src/picklescan/scanner.py#L463

CVE-2025-46417Уязвимые глобальные переменные в Picklescan до версии 0.0.25 не включают ssl. Следовательно, ssl.get_server_certificate может эксфильтровать данные через DNS после десериализации [1]. Уязвимость позволяет обойти черный список picklescan и эксфильтровать конфиденциальную информацию (такую как содержимое файлов, секреты или учетные данные) во время десериализации модели, используя ssl.get_server_certificate в качестве вызываемой функции в пейлоаде pickle. Поскольку ssl - это стандартная библиотека Python, используемая для легитимных операций TLS, она редко попадает в черный список статических сканеров или мониторов времени выполнения. Пейロード избегает помеченных модулей и вместо этого использует linecache (также не помеченный) для чтения локальных файлов. Эксфильтрованные данные добавляются к DNS-безопасным фрагментам и встраиваются в качестве поддоменов в специально созданное полное доменное имя. Когда передается в ssl.get_server_certificate, среда выполнения Python выполняет разрешение DNS к контролируемому атакующим домену, что приводит к утечке закодированного содержимого. Основные шаги эксплуатации включают чтение конфиденциального содержимого локального файла с помощью модуля linecache, кодирование данных для эксфильтрации DNS, создание вредоносного доменного имени с использованием стороннего сервиса dnslog.cn, инициирование разрешения DNS через ssl.get_server_certificate и утечку закодированного содержимого файла к атакующему. Исправление доступно в версии 0.0.25. Источники: - [1] https://github.com/advisories/GHSA-93mv-x874-956g - [2] https://github.com/mmaitre314/picklescan/pull/40

CVE-2025-1945picklescan до 0.0.23 не обнаруживает вредоносные файлы pickled внутри архивов моделей PyTorch, когда определенные флаги ZIP-файла изменены. Изменяя конкретные биты в заголовках ZIP-файлов, злоумышленник может внедрять вредоносные файлы pickled, которые остаются нераспознанными PickleScan, но при этом успешно загружаются функцией torch.load() PyTorch. Это может привести к выполнению произвольного кода при загрузке скомпрометированной модели.

CVE-2025-1944picklescan версии до 0.0.23 уязвим к атаке манипуляции ZIP-архивом, которая вызывает сбой при попытке извлечения и сканирования архивов моделей PyTorch. Изменяя имя файла в заголовке ZIP, сохраняя оригинальное имя файла в списке директорий, злоумышленник может заставить PickleScan выдать ошибку BadZipFile. Тем не менее, более лояльная реализация ZIP в PyTorch все еще позволяет загружать модель, позволяя злонамеренным нагрузкам обходить обнаружение.

CVE-2025-1889picklescan до версии 0.0.22 рассматривает только стандартные расширения файлов pickle в объеме своего сканирования на уязвимости. Злоумышленник может подготовить вредоносную модель, использующую Pickle, и включить вредоносный файл pickle с нестандартным расширением файла. Поскольку включение вредоносного файла pickle не рассматривается как часть охвата picklescan, файл пройдет проверку безопасности и будет казаться безопасным, когда на самом деле сможет вызвать проблемы.

CVE-2025-1716picklescan до 0.0.21 не рассматривает 'pip' как небезопасный глобальный объект. Злоумышленник мог бы создать вредоносную модель, использующую Pickle для загрузки вредоносного пакета PyPI (например, размещенного на pypi.org или GitHub) через `pip.main()`. Поскольку pip не является ограниченным глобальным объектом, модель, при сканировании с помощью picklescan, пройдет проверки безопасности и будет казаться безопасной, хотя на самом деле может оказаться проблемной.

Открыть в каталоге с фильтром по вендору →