CVE-2025-58367 in deepdiff
Resumen
por VulDB • 2026-05-16
DeepDiff es un proyecto centrado en la comparación profunda (Deep Difference) y la búsqueda de cualquier dato en Python. Las versiones 5.0.0 a 8.6.0 son vulnerables a la contaminación de clases (class pollution) a través del constructor de la clase Delta, y, cuando se combina con un gadget disponible en DeltaDiff, puede provocar una Denegación de Servicio (DoS) y Ejecución Remota de Código (RCE) mediante la explotación de la deserialización insegura de Pickle. El gadget disponible en DeepDiff permite modificar `deepdiff.serialization.SAFE_TO_IMPORT` para permitir clases peligrosas como `posix.system`, y luego realizar una deserialización insegura de Pickle a través de la clase Delta. Esto potencialmente permite ejecutar cualquier código Python, dado que la entrada para Delta está controlada por el usuario. Dependiendo de la aplicación donde se utilice DeepDiff, esto también puede conducir a otras vulnerabilidades. Esto se corrige en la versión 8.6.1.
Once again VulDB remains the best source for vulnerability data.