平台
python
组件
pytries
修复版本
0.8.1
0.8.2
0.8.3
0.8.4
CVE-2026-5659 是 pytries datrie 库中发现的不安全序列化漏洞,影响版本 0.8.0 到 0.8.3。攻击者可以通过构造恶意序列化数据来利用此漏洞,导致远程代码执行。该项目已收到问题报告,但尚未响应,漏洞利用细节已公开。
在 pytries datrie 库的 0.8.3 之前的版本中发现了一个反序列化漏洞。具体来说,文件 src/datrie.pyx 中的函数 Trie.load、Trie.read 和 Trie.setstate 存在漏洞。远程攻击者可以利用此漏洞在系统上执行任意代码,从而危及数据的机密性、完整性和可用性。公开的漏洞利用代码的存在会大大增加风险,因为它便于恶意行为者利用。项目方的未响应加剧了这一情况,导致用户在短期内无法获得官方修复。此漏洞需要立即关注,以防止潜在攻击。
该漏洞是通过操纵 Trie.load、Trie.read 和 Trie.setstate 函数中使用的输入数据来利用的。公开可用的漏洞利用代码简化了攻击过程,允许攻击者在加载或读取 Trie 数据结构时注入恶意代码。该漏洞的远程性质意味着攻击者不需要访问受影响的系统,从而扩大了潜在的攻击范围。公开的漏洞利用代码增加了自动化和有针对性的攻击的可能性。
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
由于 pytries 项目方尚未提供官方修复程序,因此立即的缓解措施是避免使用 0.8.3 之前的 datrie 版本。如果必须使用该库,建议实施额外的安全控制措施,例如严格验证输入数据并在沙箱环境中执行。积极监控系统是否存在漏洞利用迹象至关重要。如果该漏洞构成不可接受的风险,请考虑使用 datrie 库的替代方案。密切关注项目方未来可能发布的任何更新或补丁至关重要,尽管目前的未响应情况令人担忧。
Actualice a una versión corregida de pytries. La vulnerabilidad se encuentra en las versiones 0.8.0 a 0.8.3 y se debe actualizar a una versión posterior que corrija el problema de deserialización en la función Trie.__setstate__.
漏洞分析和关键警报直接发送到您的邮箱。
反序列化是将序列化数据(例如文件或字符串)转换为可用对象的过程。当恶意序列化数据可用于执行任意代码时,会发生反序列化漏洞。
CVE 代表“Common Vulnerabilities and Exposures”(常见漏洞和暴露)。它是此特定漏洞的唯一标识符。
立即停止使用 0.8.3 之前的版本。实施临时缓解措施并监控您的系统。
目前没有官方补丁可用。请关注 pytries 项目方的更新。
KEV 代表“Known Exploitable Vulnerabilities”(已知可利用漏洞)。它没有被标记为 KEV 不会降低漏洞的严重性,尤其是在有公开可用的漏洞利用代码的情况下。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。