关键信息汇总 漏洞概述 CVE编号: 尚未分配 漏洞类型: CWE-502: 不可信数据反序列化 影响: 远程代码执行(RCE)、信息泄露、拒绝服务、权限提升 漏洞细节 涉及库: (Python Package Index) 受影响版本: 1.2.4 或 "所有版本至当前版本"(未确认) 组件: - 漏洞 (使用 ) 攻击类型: 远程 攻击向量 攻击者可以提供恶意加密的数据,解密并通过 处理时执行任意代码。演示文件 和测试脚本 已提供。 证明概念(PoC) 内含文件: - : 技术报告(西班牙语) - : 示例恶意载荷(二进制) - : 用于本地运行PoC的脚本 - : PoC运行的输出日志 - : 测试日志 安全性提示: 和 在执行时仅打开计算器,只应在受控环境中使用。 缓解 / 补丁建议 1. 避免在不受信输入中使用 ,改用JSON等安全格式或经过验证的序列化库。 2. 若需二进制序列化,反序列化时实施严格验证并限制允许反序列化的类列表。 3. 只在最小权限下执行反序列化代码,遵循最小权限原则。 4. 示例快速修复建议用受限验证的 替换原代码。 参考 技术报告文件: 仓库中包含PoC文件