关键信息总结 漏洞描述 漏洞类型: 远程代码执行 (RCE) 通过不安全的反序列化 受影响文件: QC.py 受影响函数: load_qc_pickl() 问题: 使用 反序列化数据时未对输入进行验证或清理,导致攻击者可以通过恶意的 pickle 文件执行任意代码。 影响 任意代码执行 远程系统妥协 如果攻击者可以控制 复现步骤 1. 克隆仓库: 2. 导航到 目录: 3. 创建恶意 文件: 4. 创建并运行 : 5. 观察计算器打开,证明任意命令可执行。 建议修复 避免使用 加载不受信任的数据。 如果必须序列化/反序列化,使用安全替代方案如 或自定义二进制格式并进行验证。