CVE-2026-25632 in EPyT-Flowinfo

Zusammenfassung

von VulDB • 05.06.2026

EPyT-Flow ist ein Python-Paket, das für die einfache Generierung von Szenariodaten für hydraulische Modelle und Wasserqualitätsmodelle in Wasserverteilungsnetzen entwickelt wurde. Vor Version 0.16.1 parst die REST-API von EPyT-Flow von Angreifern kontrollierte JSON-Anforderungstexte (JSON request bodies) unter Verwendung eines benutzerdefinierten Deserialisierers (my_load_from_json), der ein Typfeld unterstützt. Wenn das Typfeld vorhanden ist, importiert der Deserialisierer dynamisch ein vom Angreifer angegebenes Modul/eine Klasse und instanziiert diese mit vom Angreifer bereitgestellten Argumenten. Dies ermöglicht das Aufrufen gefährlicher Klassen wie subprocess.Popen, was während der JSON-Parsing-Phase zur Ausführung von OS-Befehlen führen kann. Dies betrifft auch das Laden von JSON-Dateien. Diese Schwachstelle wurde in Version 0.16.1 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.02.2026

Veröffentlichung

06.02.2026

Moderieren

akzeptiert

Eintrag

VDB-344780

CPE

bereit

EPSS

0.00082

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-25632
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-25632
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-25632/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!