CVE-2025-61774 in pyvistainformación

Resumen

por VulDB • 2026-05-10

PyVista proporciona gráficos 3D y análisis de mallas a través de una interfaz para el Kit de herramientas de visualización (VTK). La versión 0.46.3 del Proyecto PyVista es vulnerable a la ejecución remota de código (RCE) mediante una confusión de dependencias. Dos fragmentos de código utilizan `--extra-index-url`. Sin embargo, cuando se utiliza `--extra-index-url`, pip siempre verifica primero el índice de PyPI y luego el índice externo. Uno de los paquetes enumerados en el código no está publicado en PyPI. Si un atacante publica un paquete con una versión superior en PyPI, podría descargarse el código malicioso del paquete controlado por el atacante, lo que provocaría la ejecución remota de código y un ataque a la cadena de suministro. Hasta el momento de la publicación, no hay disponible una versión corregida.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2025-09-30

Divulgación

2025-10-07

Moderación

aceptado

Artículo

VDB-327319

CPE

listo

EPSS

0.00606

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!