CVE-2025-58367 in deepdiff
Tóm tắt
Bởi VulDB • 28/06/2026
DeepDiff là một dự án tập trung vào việc tính toán sự khác biệt sâu (deep difference) và tìm kiếm trên bất kỳ dữ liệu Python nào. Các phiên bản từ 5.0.0 đến 8.6.0 dễ bị tổn thương do ô nhiễm lớp (class pollution) thông qua hàm tạo của lớp Delta, và khi kết hợp với một gadget có sẵn trong DeepDiff, nó có thể dẫn đến khai thác gây ra Từ chối Dịch vụ (DoS) và Thực thi Mã từ xa (RCE) (thông qua giải mã hóa Pickle không an toàn). Gadget có sẵn trong DeepDiff cho phép sửa đổi `deepdiff.serialization.SAFE_TO_IMPORT` để chấp nhận các lớp nguy hiểm như posix.system, sau đó thực hiện giải mã hóa Pickle không an toàn thông qua lớp Delta. Điều này về lý thuyết cho phép bất kỳ đoạn mã Python nào được thực thi nếu đầu vào cung cấp cho hàm tạo của lớp Delta do người dùng kiểm soát. Tùy thuộc vào ứng dụng nơi DeepDiff được sử dụng, điều này cũng có thể dẫn đến các lỗ hổng bảo mật khác. Lỗ hổng này đã được khắc phục trong phiên bản 8.6.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.