Критическая уязвимость в сканере безопасности Picklescan позволяет обходить защиту от вредоносных Python-модулей

В конце июня 2025 года в Банке данных угроз (BDU) была зарегистрирована новая критическая уязвимость, получившая идентификатор BDU:2025-15288. Данная проблема затрагивает популярный сканер безопасности Picklescan, предназначенный для анализа файлов Python Pickle на наличие опасного кода. Уязвимость связана с нарушением механизма защиты данных и позволяет удаленному злоумышленнику обойти встроенные ограничения безопасности. В результате возможным становится выполнение произвольного кода на целевой системе.

Детали уязвимости

Подверженной риску оказалась версия программного обеспечения Picklescan до 0.0.30 включительно. Разработчиком инструмента является независимый специалист Matthieu Maitre. Стоит отметить, что Picklescan часто используется в конвейерах безопасности для проверки моделей машинного обучения, например, созданных с помощью фреймворков PyTorch или TensorFlow, перед их загрузкой или выполнением. Таким образом, эта уязвимость представляет особый риск для экосистемы Data Science и MLOps.

Суть проблемы, классифицированной как CWE-693 (Нарушение механизма защиты данных), заключается в некорректной работе механизма проверки импортируемых модулей. А именно, сканер неправильно обрабатывал определенные конструкции в файлах Pickle, что в итоге позволяло обойти внутренний список заблокированных опасных операций. Следовательно, злоумышленник мог создать специально сформированный вредоносный (malicious) файл, который бы определялся сканером как безопасный, но при загрузке выполнял произвольный код.

Уровень опасности этой уязвимости оценивается как критический по всем основным версиям системы оценки CVSS. Базовый балл CVSS 3.1 составляет 9.8, что указывает на чрезвычайно высокий риск. Вектор атаки определен как сетевой (AV:N), не требующий специальных привилегий (PR:N) или взаимодействия с пользователем (UI:N). Более того, согласно описанию в BDU, существуют подтвержденные данные о наличии эксплойта в открытом доступе. Основным способом эксплуатации указан несанкторизованный сбор информации, однако возможность выполнения кода открывает путь и для более серьезных атак, включая установку программ-вымогателей (ransomware) или обеспечение постоянного доступа (persistence).

Производитель оперативно отреагировал на обнаруженную проблему. Уязвимость была подтверждена, а затем устранена в версии Picklescan 0.0.31. Соответствующий патч был представлен в публичном репозитории на GitHub. Специалистам по кибербезопасности и разработчикам настоятельно рекомендуется немедленно обновить используемую версию инструмента до актуальной. Это является единственным надежным способом устранения угрозы.

Данный инцидент в очередной раз подчеркивает важность тщательного аудита инструментов безопасности, которые сами становятся элементами цепочки доверия. Picklescan, будучи средством защиты, временно превратился в потенциальный вектор атаки. Эксперты рекомендуют организациям, использующим подобные сканеры, не только своевременно применять обновления, но и рассматривать их работу в контексте общей архитектуры безопасности. В частности, стоит изолировать процессы анализа подозрительных файлов в песочницах.

Информация об уязвимости также была зарегистрирована в международной системе CVE под идентификатором CVE-2025-10157. Дополнительные технические детали и рекомендации можно найти в официальном бюллетене безопасности разработчика на GitHub, а также в профильных отраслевых изданиях, которые уже осветили данную проблему. Таким образом, хотя угроза является серьезной, сообщество располагает всеми необходимыми средствами для эффективного противодействия благодаря оперативной работе исследователя и разработчика.

Детали уязвимости

Ссылки