关键信息概要 漏洞编号 CVE-2025-1716 漏洞描述 问题: 在 版本早于 0.0.21 中,存在不安全的反序列化漏洞。该漏洞允许攻击者绕过静态分析工具(如 ),并在反序列化过程中执行任意代码。 影响: - 该漏洞可导致远程代码执行(RCE)和供应链攻击,具体表现为:攻击者可以创建包含恶意 或 的 Python 包,上传至 GitHub 或 PyPI。当这些包被反序列化时,恶意代码将自动执行。 - Picklescan 工具可能不会检测到 调用,从而导致安全工具无法识别该威胁。 漏洞严重性 评级: 中等 CVSS 评分: 5.3 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/V:C/N:VI/L/VA:N/SC:N/SI:N/SA:N CWE 编号: CWE-184 利用方式 利用恶意的 Python 包和 反序列化攻击 缓解措施 在 列表中添加 使用 版本 0.0.21 或更高版本,因为此版本通过将 添加到其受限全局列表中解决该问题。 参考 漏洞披露历史: - CVE-2025-1358 - CVE-2025-12183 - CVE-2025-1945 - CVE-2025-1944 - CVE-2025-1889 致谢 Trevor Madge (@madgetr) of Sonatype