CVE-2025-58367 in deepdiff
摘要
由 VulDB • 2026-06-28
DeepDiff 是一个专注于对任意 Python 数据进行深度差异比较和搜索的项目。5.0.0 至 8.6.0 版本存在类污染漏洞,该漏洞可通过 Delta 类的构造函数触发;当与 DeltaDiff 中可用的利用链(gadget)结合使用时,可导致拒绝服务(DoS)以及远程代码执行(RCE,通过不安全的 Pickle 反序列化实现)。DeepDiff 中的可利用机制允许修改 `deepdiff.serialization.SAFE_TO_IMPORT`,从而引入 posix.system 等危险类,并通过 Delta 类进行不安全的 Pickle 反序列化。鉴于输入到 Delta 的数据可由用户控制,这可能导致任意 Python 代码的执行。根据 DeepDiff 所嵌入的应用程序不同,此问题还可能引发其他漏洞。该问题已在版本 8.6.1 中修复。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.