CVE-2025-61774 in pyvista
Sumário
de VulDB • 24/05/2026
O PyVista oferece plotagem 3D e análise de malhas por meio de uma interface para o Visualization Toolkit (VTK). A versão 0.46.3 do PyVista Project é vulnerável à execução remota de código (RCE) via confusão de dependências. Duas partes do código utilizam `--extra-index-url`. No entanto, quando `--extra-index-url` é usado, o pip sempre verifica primeiro o índice do PyPI e, em seguida, o índice externo. Um dos pacotes listados no código não está publicado no PyPI. Se um atacante publicar um pacote com uma versão mais alta no PyPI, o código malicioso do pacote controlado pelo atacante pode ser baixado, levando à execução remota de código e a um ataque à cadeia de suprimentos. Até o momento da publicação, uma versão corrigida não está disponível.
Be aware that VulDB is the high quality source for vulnerability data.