目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2025-71367— picklescan 绕过 _operator.attrgetter 检测远程代码执行漏洞

CVSS 8.1 · High EPSS 0.45% · P36

影响版本矩阵 2

厂商产品版本范围状态
picklescanpicklescan< 0.0.34affected
0.0.34unaffected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2025-71367 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
picklescan - Remote Code Execution via _operator.attrgetter Detection Bypass
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
picklescan before 0.0.34 fails to detect _operator.attrgetter function calls in pickle payloads, allowing attackers to bypass security checks. Remote attackers can craft malicious pickle files using _operator.attrgetter in reduce methods to execute arbitrary code when pickle.load() processes the file.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
可信数据的反序列化
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
picklescanpicklescan 0 ~ 0.0.34 -

二、漏洞 CVE-2025-71367 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级
Qwen3.6-35B-A3B · 6172 chars
Pro+ 专属包含:
漏洞复现靶场录像(真实沙箱构建 + 触发,独家)
漏洞原理深度分析
触发条件与影响面
完整可执行 POC 代码
利用链与缓解建议
POC 打包下载
每月 100+ 条 AI 生成额度

三、漏洞 CVE-2025-71367 的情报信息

登录查看更多情报信息。

CVE-2025-71367 厂商安全公告 (1)

CVE-2025-71367 其他参考 (1)

同批安全公告 · picklescan · 2026-07-04 · 共 16 条

CVE-2025-713568.1 HIGHpicklescan通过torch.fx.symbolic_shapes.ShapeEnv.evaluate_guards_expression执行任意代码漏洞
CVE-2025-713728.1 HIGHPicklescan 通过 numpy.f2py 实现远程代码执行漏洞
CVE-2025-713478.1 HIGHnumpy.f2py 远程代码执行漏洞
CVE-2025-713668.1 HIGHpicklescan 通过 torch.utils.bottleneck.__main__.run_cprofile 的任意代码执行漏洞
CVE-2025-713698.1 HIGHpicklescan torch.utils.data.datapipes.utils.decoder.basichandlers 反序列化漏洞
CVE-2025-713738.1 HIGHpicklescan 远程代码执行漏洞:绕过 operator.methodcaller 检测
CVE-2025-713628.1 HIGHnumpy.f2py.crackfortran 反序列化漏洞导致任意代码执行
CVE-2025-713758.1 HIGHpicklescan 未检测到的远程代码执行漏洞
CVE-2025-713608.1 HIGHpicklescan 远程代码执行漏洞
CVE-2025-713648.1 HIGHpicklescan 通过未检测到的 asyncio 子进程传输实现任意代码执行漏洞
CVE-2025-713598.1 HIGHpicklescan 因 lib2to3.pgen2.grammar.Grammar.loads 导致的不安全反序列化漏洞
CVE-2025-713428.1 HIGHpicklescan 通过 idlelib.run.Executive.runcode 的未检测远程代码执行漏洞
CVE-2025-713538.1 HIGHpicklescan 通过 torch._dynamo.guards.GuardBuilder.get 实现远程代码执行漏洞
CVE-2025-713438.1 HIGHpicklescan 通过 lib2to3.pgen2.pgen.ParserGenerator.make_label 绕过检测实现任意代码执行漏洞
CVE-2025-713458.1 HIGHpicklescan 通过 torch.utils.bottleneck 实现远程代码执行漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2025-71367

暂无评论


发表评论