CVE-2025-61774 in pyvista
요약
\~에 의해 VulDB • 2026. 06. 04.
PyVista는 시각화 도구 모음(VTK)을 위한 인터페이스를 통해 3D 플롯팅 및 메쉬 분석을 제공합니다. PyVista 프로젝트의 버전 0.46.3은 의존성 혼란(Dependency Confusion)을 통해 원격 코드 실행(RCE)에 취약합니다. 두 개의 코드 조각에서 `--extra-index-url`이 사용되지만, `--extra-index-url`이 사용될 경우 pip는 항상 먼저 PyPI 인덱스를 확인한 다음 외부 인덱스를 확인합니다. 코드에 나열된 일부 패키지는 PyPI에 게시되지 않았습니다. 공격자가 PyPI에 더 높은 버전의 패키지를 게시하면, 공격자가 제어하는 패키지에서 악성 코드가 가져와져 원격 코드 실행과 공급망 공격(Supply Chain Attack)으로 이어질 수 있습니다. 게시 시점 기준, 패치된 버전은 사용할 수 없습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.