关键漏洞信息 漏洞名称: Undocumented Remote Code Execution in PLY CVE ID: CVE-2025-56005 报告者: Ahmed Abd 披露日期: July 1, 2025 受影响产品: PLY (Python Lex-Yacc) 受影响版本: 3.11 (PyPI distribution) 受影响组件: via CVE 类型: CWE-502 (Deserialization of Untrusted Data) 关键影响: 任意代码执行、应用程序启动期间执行、解析逻辑到达前执行 漏洞详情 漏洞类型: 任意代码执行 攻击类型: Context-dependent 攻击向量: 不安全的反序列化攻击者控制的pickle文件 影响: 代码执行 受影响功能 in 附加信息 漏洞的隐秘性质和潜在的持续性存在高风险 picklefile参数未在官方文档中记录,但PyPI分发版本3.11包括此功能且未验证 Python的pickle模块在反序列化期间执行嵌入代码,恶意pickle文件可以在解析逻辑调用之前执行任意代码 证明概念(PoC) 定义最小的词法单元和解析器 构造恶意pickle负载 在反序列化期间执行系统命令 缓解措施 不要使用picklefile参数处理不可信或外部可写的文件 避免从用户控制的位置加载解析表 将所有pickle文件视为不安全输入 优先重新生成解析表而不是从磁盘加载它们