CVE-2025-58367 in deepdiffinfo

Zusammenfassung

von VulDB • 28.06.2026

DeepDiff ist ein Projekt mit Fokus auf die Ermittlung von Tiefenunterschieden (Deep Difference) und der Suche innerhalb beliebiger Python-Datenstrukturen. Die Versionen 5.0.0 bis 8.6.0 sind anfällig für eine Class-Pollution über den Konstruktor der Delta-Klasse. In Kombination mit einer Gadget-Funktion, die in DeltaDiff verfügbar ist, kann dies zu einem Denial of Service (DoS) und zur Remote Code Execution (RCE) führen (durch unsichere Pickle-Deserialisierung). Die in DeepDiff verfügbare Gadget-Funktion ermöglicht es, `deepdiff.serialization.SAFE_TO_IMPORT` so zu modifizieren, dass gefährliche Klassen wie posix.system zugelassen werden. Anschließend kann eine unsichere Pickle-Deserialisierung über die Delta-Klasse durchgeführt werden. Dies potenziell erlaubt die Ausführung beliebigen Python-Codes, sofern der Input für Delta vom Benutzer kontrolliert wird. Je nach Anwendungskontext, in dem DeepDiff eingesetzt wird, können dadurch auch weitere Schwachstellen ausgelöst werden. Das Problem wurde in Version 8.6.1 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

29.08.2025

Veröffentlichung

06.09.2025

Moderieren

akzeptiert

Eintrag

VDB-322959

CPE

bereit

EPSS

0.01056

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!