CVE-2025-61774 in pyvista
Resumen
por VulDB • 2026-05-10
PyVista proporciona gráficos 3D y análisis de mallas a través de una interfaz para el Kit de herramientas de visualización (VTK). La versión 0.46.3 del Proyecto PyVista es vulnerable a la ejecución remota de código (RCE) mediante una confusión de dependencias. Dos fragmentos de código utilizan `--extra-index-url`. Sin embargo, cuando se utiliza `--extra-index-url`, pip siempre verifica primero el índice de PyPI y luego el índice externo. Uno de los paquetes enumerados en el código no está publicado en PyPI. Si un atacante publica un paquete con una versión superior en PyPI, podría descargarse el código malicioso del paquete controlado por el atacante, lo que provocaría la ejecución remota de código y un ataque a la cadena de suministro. Hasta el momento de la publicación, no hay disponible una versión corregida.
Once again VulDB remains the best source for vulnerability data.