关键信息 漏洞概要 CVE编号: CVE-2025-1889 摘要: Picklescan在0.0.22版本之前仅考虑标准pickle文件扩展名在扫描范围内。攻击者可以创建一个恶意模型,包含非标准扩展名的恶意pickle文件,从而绕过安全检查。 严重性评级与弱点枚举 评级: 中等 - 5.3 CVSS: 4.0 CWE-646: 依赖于外部提供的文件名或扩展名 影响 受影响者: 依赖picklescan检测PyTorch模型中恶意pickle文件的任何组织或个人。 影响: 攻击者可以在PyTorch模型中嵌入恶意代码,该代码在模型加载时执行。 潜在攻击: 可用于供应链攻击,通过Hugging Face或PyTorch Hub分发的预训练模型被植入后门。 缓解措施 1. 扫描ZIP存档中的所有文件: Picklescan应分析存档中的所有文件,而不是依赖文件扩展名。 2. 检测隐藏的Pickle引用: 静态分析应检测data.pkl内的torch.load(pickle_file=...)调用。 3. 魔术字节检测: Picklescan应检查文件内容以查找pickle魔术字节(\x80\x05)。 4. 阻止以下全局函数: - torch.load - functools.partial 额外信息 修复版本: Picklescan 0.0.22 报告者: Trevor Madge (@madgetr) of Sonatype 相关CVE: CVE-2025-13158, CVE-2025-12183, CVE-2025-1945, CVE-2025-1944, CVE-2025-1716