CVE-2026-3490
🟠 Łataj w tym tygodniu
Błąd w Picklescan umożliwia zdalne wykonanie kodu przez obejście blokady funkcji.
CVSS
10.0
EPSS
0.6%
Exploit
none
Vendor
Opis źródłowy (NVD)
picklescan before 1.0.4 fails to block pkgutil.resolve_name, allowing attackers to bypass the entire blocklist by resolving any dangerous function through indirect REDUCE calls. Remote attackers can invoke any blocked function such as os.system, builtins.exec, or subprocess.call to achieve remote code execution.
rce
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 10.0 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.6% |
| Opublikowano (NVD) | 2026-06-17 17:16:50 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-18 17:16:30 UTC |
Referencje
- https://github.com/mmaitre314/picklescan/security/advisories/GHSA-vvpj-8cmc-gx39 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/picklescan-universal-blocklist-bypass-via-pkgutil-resolve-name (disclosure@vulncheck.com)