CVE-2025-58367 in deepdiffinformation

Résumé

par VulDB • 28/06/2026

DeepDiff est un projet axé sur la comparaison approfondie (deep difference) et la recherche dans tout type de données Python. Les versions 5.0.0 à 8.6.0 sont vulnérables à une pollution de classes via le constructeur de la classe Delta, et lorsqu'elle est combinée avec un gadget disponible dans DeltaDiff, cela peut entraîner une exploitation menant à un déni de service (DoS) et à l'exécution de code à distance (RCE) via une désérialisation Pickle non sécurisée. Le gadget présent dans DeepDiff permet de modifier `deepdiff.serialization.SAFE_TO_IMPORT` afin d'autoriser des classes dangereuses telles que posix.system, puis d'effectuer une désérialisation Pickle non sécurisée via la classe Delta. Cela peut potentiellement permettre l'exécution de n'importe quel code Python, étant donné que l'entrée fournie à Delta est contrôlée par l'utilisateur. Selon l'application dans laquelle DeepDiff est utilisé, cela peut également entraîner d'autres vulnérabilités. Ce problème est corrigé dans la version 8.6.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Réserver

29/08/2025

Divulgation

06/09/2025

Modérer

accepté

Entrée

VDB-322959

CPE

prêt

EPSS

0.01056

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!