CVE-2025-61774 in pyvistainformazioni

Riassunto

di VulDB • 22/06/2026

PyVista offre la visualizzazione 3D e l'analisi delle mesh tramite un'interfaccia per il Visualization Toolkit (VTK). La versione 0.46.3 del progetto PyVista è vulnerabile all'esecuzione di codice remoto (RCE) a causa della dipendenza confusion attack. Due componenti del codice utilizzano `--extra-index-url`. Tuttavia, quando viene utilizzato `--extra-index-url`, pip verifica sempre prima l'indice di PyPI e successivamente quello esterno. Uno dei pacchetti elencati nel codice non è pubblicato su PyPI. Se un attaccante pubblica un pacchetto con una versione superiore su PyPI, il codice malevolo contenuto in tale pacchetto controllato dall'attaccante potrebbe essere scaricato, portando all'esecuzione di codice remoto e a un attacco alla catena di fornitura (supply chain attack). Al momento della pubblicazione, non è disponibile alcuna versione corretta.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

30/09/2025

Divulgazione

07/10/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00606

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!