CVE-2025-58367 in deepdiffinformazioni

Riassunto

di VulDB • 28/06/2026

DeepDiff è un progetto focalizzato sul calcolo della differenza profonda (deep difference) e sulla ricerca all'interno di qualsiasi dato Python. Le versioni dalla 5.0.0 alla 8.6.0 sono vulnerabili a class pollution tramite il costruttore della classe Delta; se combinata con una gadget disponibile in DeltaDiff, questa può portare a Denial of Service ed Esecuzione Remota di Codice (RCE) attraverso la deserializzazione Pickle non sicura. La gadget presente in DeepDiff consente di modificare `deepdiff.serialization.SAFE_TO_IMPORT` per permettere l'importazione di classi pericolose come posix.system, e successivamente eseguire una deserializzazione Pickle insicura tramite la classe Delta. Ciò potenzialmente permette l'esecuzione di qualsiasi codice Python, dato che l'input fornito alla classe Delta è controllato dall'utente. A seconda dell'applicazione in cui DeepDiff viene utilizzato, ciò può anche portare ad altre vulnerabilità. Il problema è stato risolto nella versione 8.6.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

29/08/2025

Divulgazione

06/09/2025

Moderazione

accettato

CPE

pronto

EPSS

0.01056

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!