CVE-2026-22607 - Fickling黑名单绕过:cProfile.run()
概述
这是一个关于Python Pickle安全分析工具Fickling的安全漏洞。
漏洞描述
Fickling是一个Python pickle反编译器和静态分析器。Fickling版本0.1.6及之前版本没有将Python的cProfile模块视为不安全模块。因此,使用cProfile.run()的恶意pickle文件会被分类为“可疑”(SUSPICIOUS),而不是“明显恶意”(OVERTLY_MALICIOUS)。如果用户依赖Fickling的输出来判断pickle文件是否安全可以反序列化,这种错误分类可能导致他们在自己的系统上执行攻击者控制的代码。此漏洞影响了任何使用Fickling作为pickle反序列化安全关卡的流程或产品。该问题已在0.1.7版本中修复。
发布日期:2026年1月10日 凌晨2:15 最后修改日期:2026年1月10日 凌晨2:15 可远程利用:是 来源:security-advisories@github.com
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Trailofbits | fickling |
受影响供应商总数:1 | 产品数:1
CVSS评分
- 分数:8.9
- 版本:CVSS 4.0
- 严重性:高
- 向量:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N - 来源:security-advisories@github.com
解决方案
将Fickling更新到0.1.7或更高版本,以获得正确的安全分析。
- 更新Fickling至版本0.1.7。
- 验证Fickling的安全分类。
参考链接
- https://github.com/trailofbits/fickling/commit/dc8ae12966edee27a78fe05c5745171a2b138d43
- https://github.com/trailofbits/fickling/releases/tag/v0.1.7
- https://github.com/trailofbits/fickling/security/advisories/GHSA-p523-jq9w-64x9
CWE - 通用缺陷枚举
- CWE-184:禁止输入项列表不完整
- CWE-502:不可信数据的反序列化
CAPEC - 通用攻击模式枚举与分类
以下是与CVE-2026-22607弱点相关的常见攻击模式:
- CAPEC-3:使用前导“幽灵”字符序列绕过输入过滤器
- CAPEC-6:参数注入
- CAPEC-15:命令分隔符
- CAPEC-43:利用多层输入解释
- CAPEC-71:使用Unicode编码绕过验证逻辑
- CAPEC-73:用户控制的文件名
- CAPEC-85:AJAX足迹探测
- CAPEC-120:双重编码
- CAPEC-182:Flash注入
- CAPEC-586:对象注入
漏洞时间线
新CVE接收:由 security-advisories@github.com 于 2026年1月10日 提交
| 操作 | 类型 | 旧值 | 新值 |
|---|
| 添加 | CVSS V4.0 | | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | | 添加 | CWE | | CWE-184 | | 添加 | CWE | | CWE-502 | | 添加 | 参考链接 | | https://github.com/trailofbits/fickling/commit/dc8ae12966edee27a78fe05c5745171a2b138d43 | | 添加 | 参考链接 | | https://github.com/trailofbits/fickling/releases/tag/v0.1.7 | | 添加 | 参考链接 | | https://github.com/trailofbits/fickling/security/advisories/GHSA-p523-jq9w-64x9 |