Plateforme
python
Composant
cryptidy
Corrigé dans
1.2.5
1.2.5
CVE-2025-63675 describes a code execution vulnerability in cryptidy versions up to 1.2.4. This flaw arises from the insecure use of the pickle.loads function, allowing an attacker to potentially execute arbitrary code. The vulnerability is located in the aesdecryptmessage function within the symmetric_encryption.py file. A fix is available in version 1.2.5.
La CVE-2025-63675 affecte cryptidy jusqu'à la version 1.2.4, présentant une vulnérabilité d'exécution de code arbitraire. La cause première réside dans l'utilisation de pickle.loads pour traiter des données non fiables au sein de la fonction aesdecryptmessage dans le fichier symmetric_encryption.py. pickle.loads est intrinsèquement non sécurisé lorsqu'il est utilisé avec des données provenant de sources externes, car il permet la désérialisation d'objets Python arbitraires. Un attaquant pourrait créer un objet pickle malveillant qui, lors de la désérialisation, exécuterait du code malveillant sur le système. La gravité de cette vulnérabilité est notée 6.9 sur l'échelle CVSS, indiquant un risque significatif. Une exploitation réussie pourrait entraîner une compromission totale du système, un vol de données confidentielles ou une interruption de service.
L'exploitation de la CVE-2025-63675 nécessite qu'un attaquant puisse contrôler les données envoyées à la fonction aesdecryptmessage. Cela pourrait être réalisé par le biais de divers vecteurs d'attaque, tels que la manipulation de messages chiffrés ou l'injection de données malveillantes dans un flux de communication. L'attaquant doit être en mesure d'envoyer des données chiffrées à un système utilisant cryptidy et la fonction aesdecryptmessage. Une fois que les données malveillantes sont traitées par pickle.loads, le code malveillant contenu dans l'objet pickle sera exécuté. La complexité de l'exploitation dépend de l'architecture du système et des mesures de sécurité mises en œuvre, mais la vulnérabilité elle-même est relativement facile à exploiter.
Systems utilizing cryptidy for symmetric encryption, particularly those processing data from untrusted sources, are at risk. This includes applications that integrate cryptidy for secure communication or data storage, especially if they lack robust input validation mechanisms. Development environments using older versions of cryptidy are also vulnerable.
• python / server:
import os
import pickle
def check_cryptidy_version():
try:
import cryptidy
version = cryptidy.__version__
if version <= '1.2.4':
print(f"Vulnerable cryptidy version detected: {version}")
else:
print(f"Cryptidy version is safe: {version}")
except ImportError:
print("cryptidy is not installed.")
check_cryptidy_version()disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour la CVE-2025-63675 est de mettre à niveau vers la version 1.2.5 ou supérieure de cryptidy. Cette version corrige la vulnérabilité en évitant l'utilisation de pickle.loads avec des données non fiables. En alternative, si une mise à niveau immédiate n'est pas possible, une validation stricte des entrées doit être mise en œuvre avant de traiter les données. Cela peut inclure la vérification de la longueur, du format et du contenu des données. De plus, il est recommandé de limiter les privilèges de l'utilisateur exécutant le code vulnérable afin de minimiser l'impact potentiel d'une exploitation réussie. La surveillance des systèmes à la recherche d'activités suspectes est également essentielle pour détecter et répondre aux attaques potentielles. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour protéger vos systèmes.
Actualice la biblioteca cryptidy a una versión que no sea vulnerable. Si no hay una versión disponible, evite usar la función aes_decrypt_message o implemente una solución que no use pickle.loads para deserializar datos no confiables. Considere usar un formato de serialización más seguro como JSON o un esquema de validación estricto para los datos deserializados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
'Pickle' est un module Python pour la sérialisation et la désérialisation d'objets Python. Il est dangereux lorsqu'il est utilisé avec des données non fiables car il permet l'exécution de code arbitraire.
CVSS 6.9 indique une vulnérabilité de gravité moyenne à élevée, avec un risque d'exploitation significatif.
La mise en œuvre d'une validation stricte des entrées avant de traiter les données est une solution de contournement temporaire, mais elle n'est pas aussi sûre que la mise à niveau vers la version 1.2.5.
Si vous utilisez cryptidy en version 1.2.4 ou antérieure, votre système est vulnérable.
Vous pouvez trouver plus d'informations sur la CVE-2025-63675 sur les bases de données de vulnérabilités telles que NIST NVD ou MITRE.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.