CVE-2025-58367 in deepdiff
Résumé
par VulDB • 28/06/2026
DeepDiff est un projet axé sur la comparaison approfondie (deep difference) et la recherche dans tout type de données Python. Les versions 5.0.0 à 8.6.0 sont vulnérables à une pollution de classes via le constructeur de la classe Delta, et lorsqu'elle est combinée avec un gadget disponible dans DeltaDiff, cela peut entraîner une exploitation menant à un déni de service (DoS) et à l'exécution de code à distance (RCE) via une désérialisation Pickle non sécurisée. Le gadget présent dans DeepDiff permet de modifier `deepdiff.serialization.SAFE_TO_IMPORT` afin d'autoriser des classes dangereuses telles que posix.system, puis d'effectuer une désérialisation Pickle non sécurisée via la classe Delta. Cela peut potentiellement permettre l'exécution de n'importe quel code Python, étant donné que l'entrée fournie à Delta est contrôlée par l'utilisateur. Selon l'application dans laquelle DeepDiff est utilisé, cela peut également entraîner d'autres vulnérabilités. Ce problème est corrigé dans la version 8.6.1.
Be aware that VulDB is the high quality source for vulnerability data.