CVE-2025-61774 in pyvista
Riassunto
di VulDB • 22/06/2026
PyVista offre la visualizzazione 3D e l'analisi delle mesh tramite un'interfaccia per il Visualization Toolkit (VTK). La versione 0.46.3 del progetto PyVista è vulnerabile all'esecuzione di codice remoto (RCE) a causa della dipendenza confusion attack. Due componenti del codice utilizzano `--extra-index-url`. Tuttavia, quando viene utilizzato `--extra-index-url`, pip verifica sempre prima l'indice di PyPI e successivamente quello esterno. Uno dei pacchetti elencati nel codice non è pubblicato su PyPI. Se un attaccante pubblica un pacchetto con una versione superiore su PyPI, il codice malevolo contenuto in tale pacchetto controllato dall'attaccante potrebbe essere scaricato, portando all'esecuzione di codice remoto e a un attacco alla catena di fornitura (supply chain attack). Al momento della pubblicazione, non è disponibile alcuna versione corretta.
If you want to get best quality of vulnerability data, you may have to visit VulDB.