CVE-2026-33155 in DeepDiffinformación

Resumen

por MITRE • 2026-03-20

DeepDiff es un proyecto centrado en la Diferencia Profunda y la búsqueda de cualquier dato de Python. Desde la versión 5.0.0 hasta antes de la versión 8.6.2, el des-serializador de pickle _RestrictedUnpickler valida qué clases pueden cargarse, pero no limita los argumentos de sus constructores. Algunos de los tipos en SAFE_TO_IMPORT tienen constructores que asignan memoria proporcional a su entrada (builtins.bytes, builtins.list, builtins.range). Una carga útil de pickle de 40 bytes puede forzar más de 10 GB de memoria, lo que provoca el bloqueo de aplicaciones que cargan objetos delta o llaman a pickle_load con datos no confiables. Este problema ha sido parcheado en la versión 8.6.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgación

2026-03-20

Moderación

aceptado

Artículo

VDB-351684

CPE

listo

CWE

CWE-400 (confirmado)

Explotación

Descargar

CVSS

5.3 (VulDB)

EPSS

0.00026

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33155
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33155
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33155/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!