漏洞总结:datrie.Trie 任意代码执行漏洞 1. 漏洞概述 库中的 类在通过 加载 文件时,使用了不安全的 方法来反序列化内部数据。 和 方法同样存在此问题。这意味着攻击者可以构造恶意的 文件,当受害者加载该文件时,将触发任意 Python 代码的执行。 2. 影响范围 受影响包 (Package): datrie 受影响版本 (Affected Versions): 0.8.3 及以下所有版本 (All versions through 0.8.3) CWE 编号: CWE-502 - Deserialization of Untrusted Data (反序列化不可信数据) 严重程度 (Severity): Critical (严重) 影响 (Impact): Arbitrary Code Execution (任意代码执行) 发现者 (Researcher Name): Dhabaleswar Das 发现日期: 21-03-2026 3. 漏洞代码 (Vulnerable Code) 漏洞主要存在于以下三个入口点: 1. Trie.__setstate__ (Line 678) 2. Trie.read (Line 730) 3. Trie.write (Line 721) 4. 利用代码 (Proof of Concept) 攻击者脚本 (create_evil.py) 此脚本用于创建包含恶意 pickle 负载的 文件。 受害者脚本 (victim_app.py)** 此脚本模拟正常用户加载 文件的行为,触发漏洞。