CVE-2025-58367 in deepdiff
الملخص
بحسب VulDB • 28/06/2026
DeepDiff هو مشروع يركز على حساب الفروق العميقة والبحث في أي بيانات Python. الإصدارات من 5.0.0 إلى 8.6.0 عرضة لتلويث الفئة (Class Pollution) عبر مُنشئ فئة Delta، وعند دمجه مع أداة استغلال متاحة في DeltaDiff، يمكن أن يؤدي ذلك إلى حدوث إنكار للخدمة وهجوم تنفيذ الكود عن بُعد (RCE) من خلال الاستغلال غير الآمن لعملية فك تسلسل Pickle. تتيح الأداة المتاحة في DeepDiff تعديل `deepdiff.serialization.SAFE_TO_IMPORT` للسماح بفئات خطيرة مثل posix.system، ومن ثم إجراء عملية فك تسلسل Pickl غير آمنة عبر فئة Delta. هذا يسمح نظرياً بتنفيذ أي كود Python، بشرط أن يكون الإدخال المُمرَّر إلى الفئة Delta خاضعاً لسيطرة المستخدم. اعتماداً على التطبيق الذي يُستخدم فيه DeepDiff، قد يؤدي ذلك أيضاً إلى ثغرات أمنية أخرى. تم إصلاح هذه الثغرة في الإصدار 8.6.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.