CVE-2025-58367 in deepdiffالمعلومات

الملخص

بحسب VulDB • 28/06/2026

DeepDiff هو مشروع يركز على حساب الفروق العميقة والبحث في أي بيانات Python. الإصدارات من 5.0.0 إلى 8.6.0 عرضة لتلويث الفئة (Class Pollution) عبر مُنشئ فئة Delta، وعند دمجه مع أداة استغلال متاحة في DeltaDiff، يمكن أن يؤدي ذلك إلى حدوث إنكار للخدمة وهجوم تنفيذ الكود عن بُعد (RCE) من خلال الاستغلال غير الآمن لعملية فك تسلسل Pickle. تتيح الأداة المتاحة في DeepDiff تعديل `deepdiff.serialization.SAFE_TO_IMPORT` للسماح بفئات خطيرة مثل posix.system، ومن ثم إجراء عملية فك تسلسل Pickl غير آمنة عبر فئة Delta. هذا يسمح نظرياً بتنفيذ أي كود Python، بشرط أن يكون الإدخال المُمرَّر إلى الفئة Delta خاضعاً لسيطرة المستخدم. اعتماداً على التطبيق الذي يُستخدم فيه DeepDiff، قد يؤدي ذلك أيضاً إلى ثغرات أمنية أخرى. تم إصلاح هذه الثغرة في الإصدار 8.6.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

29/08/2025

إفشاء

06/09/2025

الاعتدال

تمت الموافقة

إدخال

VDB-322959

EPSS

0.01056

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!