CVE-2025-58367 in deepdiff
요약
\~에 의해 VulDB • 2026. 06. 28.
DeepDiff는 모든 파이썬 데이터에 대한 심층 차이 분석 및 검색을 목적으로 하는 프로젝트입니다. 버전 5.0.0부터 8.6.0까지의 DeepDiff는 Delta 클래스 생성자를 통한 클래스 오염(class pollution) 취약점에 노출되어 있으며, 이는 DeltaDiff에서 사용 가능한 기가드(gadget)와 결합될 경우 서비스 거부(Denial of Service) 및 원격 코드 실행(RCE: insecure Pickle 역직렬화를 통해)으로 이어지는 악용이 가능합니다. DeepDiff에 포함된 기가드는 `deepdiff.serialization.SAFE_TO_IMPORT`를 수정하여 posix.system과 같은 위험한 클래스의 import를 허용하고, 이후 Delta 클래스를 통해 비안전한 Pickle 역직렬화를 수행할 수 있게 합니다. 이는 Delta로 전달되는 입력값이 사용자 제어 하에 있을 경우 임의의 파이썬 코드가 실행될 가능성을 의미합니다. DeepDiff가 적용된 애플리케이션에 따라 다른 취약점으로 이어질 수도 있습니다. 이 문제는 버전 8.6.1에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.