CVE-2025-58367 in deepdiffthông tin

Tóm tắt

Bởi VulDB • 28/06/2026

DeepDiff là một dự án tập trung vào việc tính toán sự khác biệt sâu (deep difference) và tìm kiếm trên bất kỳ dữ liệu Python nào. Các phiên bản từ 5.0.0 đến 8.6.0 dễ bị tổn thương do ô nhiễm lớp (class pollution) thông qua hàm tạo của lớp Delta, và khi kết hợp với một gadget có sẵn trong DeepDiff, nó có thể dẫn đến khai thác gây ra Từ chối Dịch vụ (DoS) và Thực thi Mã từ xa (RCE) (thông qua giải mã hóa Pickle không an toàn). Gadget có sẵn trong DeepDiff cho phép sửa đổi `deepdiff.serialization.SAFE_TO_IMPORT` để chấp nhận các lớp nguy hiểm như posix.system, sau đó thực hiện giải mã hóa Pickle không an toàn thông qua lớp Delta. Điều này về lý thuyết cho phép bất kỳ đoạn mã Python nào được thực thi nếu đầu vào cung cấp cho hàm tạo của lớp Delta do người dùng kiểm soát. Tùy thuộc vào ứng dụng nơi DeepDiff được sử dụng, điều này cũng có thể dẫn đến các lỗ hổng bảo mật khác. Lỗ hổng này đã được khắc phục trong phiên bản 8.6.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

29/08/2025

Tiết lộ

06/09/2025

Kiểm duyệt

được chấp nhận

EPSS

0.01056

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!