CVE-2025-58367 in deepdiff
Riassunto
di VulDB • 28/06/2026
DeepDiff è un progetto focalizzato sul calcolo della differenza profonda (deep difference) e sulla ricerca all'interno di qualsiasi dato Python. Le versioni dalla 5.0.0 alla 8.6.0 sono vulnerabili a class pollution tramite il costruttore della classe Delta; se combinata con una gadget disponibile in DeltaDiff, questa può portare a Denial of Service ed Esecuzione Remota di Codice (RCE) attraverso la deserializzazione Pickle non sicura. La gadget presente in DeepDiff consente di modificare `deepdiff.serialization.SAFE_TO_IMPORT` per permettere l'importazione di classi pericolose come posix.system, e successivamente eseguire una deserializzazione Pickle insicura tramite la classe Delta. Ciò potenzialmente permette l'esecuzione di qualsiasi codice Python, dato che l'input fornito alla classe Delta è controllato dall'utente. A seconda dell'applicazione in cui DeepDiff viene utilizzato, ciò può anche portare ad altre vulnerabilità. Il problema è stato risolto nella versione 8.6.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.