一、 漏洞 CVE-2025-1889 基础信息
漏洞标题
picklescan - 安全扫描绕过非标准文件扩展名
来源:AIGC 神龙大模型
漏洞描述信息
picklescan 在 0.0.22 之前的版本中,仅在其漏洞扫描范围内考虑标准的 pickle 文件扩展名。攻击者可以构造一个恶意模型,使用 Pickle 包含一个具有非标准文件扩展名的恶意 pickle 文件。由于恶意 pickle 文件的包含未被纳入 picklescan 的扫描范围,该文件会通过安全检查并显得安全,但实际上可能会引发问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
picklescan - Security scanning bypass via non-standard file extensions
来源:美国国家漏洞数据库 NVD
漏洞描述信息
picklescan before 0.0.22 only considers standard pickle file extensions in the scope for its vulnerability scan. An attacker could craft a malicious model that uses Pickle and include a malicious pickle file with a non-standard file extension. Because the malicious pickle file inclusion is not considered as part of the scope of picklescan, the file would pass security checks and appear to be safe, when it could instead prove to be problematic.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
依赖于外部提供文件的文件名或扩展名
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-1889 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-1889 的情报信息