CVE-2025-61774 in pyvistaالمعلومات

الملخص

بحسب VulDB • 04/06/2026

يوفر PyVista رسمًا بيانيًا ثلاثي الأبعاد وتحليل الشبكات من خلال واجهة لمجموعة أدوات التصور (VTK). تُظهر الإصدار 0.46.3 من مشروع PyVista ثغرة تسمح بتنفيذ الأكواد عن بُعد عبر هجوم "confusion of dependencies" (الالتباس في التبعيات). يستخدم قطعا من الكود الأمر `--extra-index-url`. ولكن عند استخدام `--extra-index-url`، يتحقق pip دائمًا من فهرس PyPI أولاً، ثم الفهرس الخارجي. أحد الحزم المذكورة في الكود غير منشورة على PyPI. إذا نشر مهاجم حزمة ذات إصدار أعلى على PyPI، فقد يتم سحب الكود الخبيث من الحزمة التي يتحكم فيها المهاجم، مما يؤدي إلى تنفيذ الأكواد عن بُعد وهجوم على سلسلة التوريد. اعتبارًا من وقت النشر، لا يتوفر إصدار مُصلح.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

30/09/2025

إفشاء

07/10/2025

الاعتدال

تمت الموافقة

إدخال

VDB-327319

EPSS

0.00606

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!