Plataforma
python
Componente
fickling
Corregido en
0.1.7
0.1.6
Se ha identificado una vulnerabilidad de deserialización en Fickling, una herramienta de evaluación de seguridad para Python. Esta falla permite a un atacante ejecutar código arbitrario al evadir la heurística de variables no utilizadas, lo que resulta en una ejecución no autorizada. La vulnerabilidad afecta a versiones de Fickling menores o iguales a 0.1.5 y se ha solucionado en la versión 0.1.6.
La vulnerabilidad de deserialización en Fickling permite a un atacante inyectar código malicioso a través de un archivo pickle manipulado. Al evadir la heurística de variables no utilizadas, el código inyectado puede ser ejecutado con los privilegios del proceso Fickling. Esto podría resultar en la toma de control completa del sistema, la exfiltración de datos sensibles o la modificación de la configuración del sistema. La explotación exitosa requiere que el atacante pueda controlar el contenido del archivo pickle que se deserializa, lo que podría lograrse a través de la manipulación de archivos de entrada o la inyección de código en un entorno controlado.
Esta vulnerabilidad fue publicada el 15 de diciembre de 2025. No se ha reportado explotación activa en entornos de producción. La vulnerabilidad se considera de alta probabilidad de explotación debido a la naturaleza de la deserialización insegura y la disponibilidad de herramientas para crear archivos pickle maliciosos. No se ha añadido a KEV al momento de esta redacción.
Applications and systems that utilize Fickling to deserialize data from untrusted sources are at risk. This includes systems that process data from external APIs, user uploads, or other potentially malicious sources. Specifically, Python environments where Fickling is a dependency and where pickle deserialization is performed without proper validation are vulnerable.
• python / library:
import pickle
import sys
def check_fickling_version():
import fickling
return fickling.__version__
if check_fickling_version() <= '0.1.5':
print("Vulnerability detected: Fickling version is vulnerable.")
else:
print("Fickling version is patched.")disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Fickling a la versión 0.1.6 o superior, que incluye la corrección para evitar la evasión de la heurística. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a los archivos pickle que se procesan con Fickling, asegurándose de que solo se utilicen archivos de fuentes confiables. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear el procesamiento de archivos pickle sospechosos. Verifique que la lista de bloqueos de módulos inseguros incluya pty.
Actualice la biblioteca Fickling a la versión 0.1.6 o superior. Esto corrige la vulnerabilidad de inyección de código causada por la falta de `pty` en la lista de bloqueo de importaciones de módulos no seguros. La actualización asegura que los archivos pickle inseguros basados en `pty.spawn()` se marquen correctamente como inseguros.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67748 is a vulnerability in Fickling versions 0.1.5 and earlier that allows a crafted pickle file to bypass a safety heuristic, leading to arbitrary code execution.
You are affected if you are using Fickling version 0.1.5 or earlier and deserialize pickle files from untrusted sources.
Upgrade Fickling to version 0.1.6 or later. Restrict pickle file sources to trusted origins and implement input validation.
No active exploitation campaigns have been reported at this time, but the risk increases with public proof-of-concept code.
Refer to the Fickling GitHub repository for updates and advisories: https://github.com/trailofbits/fickling
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.