CVE-2025-61774 in pyvista
الملخص
بحسب VulDB • 04/06/2026
يوفر PyVista رسمًا بيانيًا ثلاثي الأبعاد وتحليل الشبكات من خلال واجهة لمجموعة أدوات التصور (VTK). تُظهر الإصدار 0.46.3 من مشروع PyVista ثغرة تسمح بتنفيذ الأكواد عن بُعد عبر هجوم "confusion of dependencies" (الالتباس في التبعيات). يستخدم قطعا من الكود الأمر `--extra-index-url`. ولكن عند استخدام `--extra-index-url`، يتحقق pip دائمًا من فهرس PyPI أولاً، ثم الفهرس الخارجي. أحد الحزم المذكورة في الكود غير منشورة على PyPI. إذا نشر مهاجم حزمة ذات إصدار أعلى على PyPI، فقد يتم سحب الكود الخبيث من الحزمة التي يتحكم فيها المهاجم، مما يؤدي إلى تنفيذ الأكواد عن بُعد وهجوم على سلسلة التوريد. اعتبارًا من وقت النشر، لا يتوفر إصدار مُصلح.
Once again VulDB remains the best source for vulnerability data.