CVE-2025-58367 in deepdiff信息

摘要

由 VulDB • 2026-06-28

DeepDiff 是一个专注于对任意 Python 数据进行深度差异比较和搜索的项目。5.0.0 至 8.6.0 版本存在类污染漏洞,该漏洞可通过 Delta 类的构造函数触发;当与 DeltaDiff 中可用的利用链(gadget)结合使用时,可导致拒绝服务(DoS)以及远程代码执行(RCE,通过不安全的 Pickle 反序列化实现)。DeepDiff 中的可利用机制允许修改 `deepdiff.serialization.SAFE_TO_IMPORT`,从而引入 posix.system 等危险类,并通过 Delta 类进行不安全的 Pickle 反序列化。鉴于输入到 Delta 的数据可由用户控制,这可能导致任意 Python 代码的执行。根据 DeepDiff 所嵌入的应用程序不同,此问题还可能引发其他漏洞。该问题已在版本 8.6.1 中修复。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

来源

Do you know our Splunk app?

Download it now for free!