关键信息总结 漏洞描述 问题: 在 文件的 函数中,使用了 Python 的 方法来反序列化文件数据,但没有进行验证或清理输入。 影响: 如果攻击者提供一个恶意的 pickle 文件,当文件被加载时,可以执行任意代码,导致远程代码执行 (RCE) 漏洞。 漏洞代码片段 影响 任意代码执行 如果攻击者能控制 ,可能导致远程系统被攻陷 受影响组件 文件: 函数: 使用 时未进行输入验证 复现步骤 1. 克隆仓库: 2. 进入 目录: 3. 创建恶意 文件: 4. 创建并运行 文件: 5. 观察计算器是否打开,确认任意命令可被执行。 建议修复方案 避免使用 加载不可信数据。 如果必须进行序列化/反序列化,使用安全替代方案如 或自定义二进制格式,并进行验证。