CVE-2026-22609 - Fickling 因不完整的危险模块黑名单导致静态分析被绕过
概述
漏洞时间线
描述
Fickling 是一个 Python pickle 反编译器和静态分析器。在 0.1.7 版本之前,Fickling 静态分析器中的 unsafe_imports() 方法未能标记多个可用于任意代码执行的高风险 Python 模块。导入这些模块的恶意 pickle 文件将不会被检测为不安全,从而使攻击者能够绕过 Fickling 的主要静态安全检查。此问题已在 0.1.7 版本中修复。
信息
发布日期: 2026年1月10日,凌晨2:15
最后修改日期: 2026年1月10日,凌晨2:15
可远程利用: 是!
来源: security-advisories@github.com
受影响产品
以下产品受到 CVE-2026-22609 漏洞的影响。即使 cvefeed.io 知晓受影响产品的确切版本,以下表格也未显示该信息。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Trailofbits | fickling |
总计受影响供应商:1 | 产品:1
CVSS 评分
通用漏洞评分系统是评估软件和系统中漏洞严重性的标准化框架。我们为每个 CVE 收集并显示来自不同来源的 CVSS 分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.9 | CVSS 4.0 | 高 | security-advisories@github.com |
解决方案
将 Fickling 更新到 0.1.7 版本以修复不安全的导入检测。
- 将 Fickling 更新到版本 0.1.7。
- 使用 Fickling 的静态分析器进行安全检查。
- 避免反序列化不可信的 pickle 数据。
- 审查导入的模块是否存在恶意代码。
参考(建议、解决方案和工具)
在这里,您将找到与 CVE-2026-22609 相关的精选外部链接列表,这些链接提供了深入的信息、实用的解决方案和有价值的工具。
CWE - 通用弱点枚举
CVE 标识漏洞的具体实例,而 CWE 则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2026-22609 与以下 CWE 相关联:
- CWE-184: 不完整的禁止输入列表
- CWE-502: 反序列化不可信数据
常见攻击模式枚举和分类(CAPEC)
常见攻击模式枚举和分类(CAPEC)存储攻击模式,这些模式描述了攻击者为利用 CVE-2026-22609 弱点所采用的常见属性和方法。
- CAPEC-3: 使用前导“幽灵”字符序列绕过输入过滤器
- CAPEC-6: 参数注入
- CAPEC-15: 命令分隔符
- CAPEC-43: 利用多个输入解释层
- CAPEC-71: 使用 Unicode 编码绕过验证逻辑
- CAPEC-73: 用户控制的文件名
- CAPEC-85: AJAX 足迹探测
- CAPEC-120: 双重编码
- CAPEC-182: Flash 注入
- CAPEC-586: 对象注入
我们扫描 GitHub 仓库以检测新的概念验证漏洞利用。以下是已发布在 GitHub 上的公开漏洞利用和概念验证集合(按最近更新排序)。由于潜在的性能问题,结果限制在前 15 个仓库。
(列表中无具体内容)
以下是文章中提及 CVE-2026-22609 漏洞的新闻列表。由于潜在的性能问题,结果限制在前 20 篇新闻文章。
(列表中无具体内容)
下表列出了 CVE-2026-22609 漏洞随时间所做的更改。漏洞历史详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 CVE,来源 security-advisories@github.com | 2026年1月10日 |
| 添加 | CVSS V4.0 | | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | | 添加 | CWE | | CWE-184 | | 添加 | CWE | | CWE-502 | | 添加 | 参考 | | https://github.com/trailofbits/fickling/commit/29d5545e74b07766892c1f0461b801afccee4f91 | | 添加 | 参考 | | https://github.com/trailofbits/fickling/commit/9a2b3f89bd0598b528d62c10a64c1986fcb09f66 | | 添加 | 参考 | | https://github.com/trailofbits/fickling/commit/b793563e60a5e039c5837b09d7f4f6b92e6040d1 | | 添加 | 参考 | | https://github.com/trailofbits/fickling/commit/eb299b453342f1931c787bcb3bc33f3a03a173f9 | | 添加 | 参考 | | https://github.com/trailofbits/fickling/releases/tag/v0.1.7 | | 添加 | 参考 | | https://github.com/trailofbits/fickling/security/advisories/GHSA-q5qq-mvfm-j35x |
EPSS 是对未来 30 天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的 EPSS 分数历史记录。
(无具体图表数据展示)
供应链
漏洞评分详情
CVSS 4.0
基础 CVSS 分数:8.9
攻击向量 / 攻击复杂性 / 攻击前提条件 / 所需权限 / 用户交互 / VS 保密性 / VS 完整性 / VS 可用性 / SS 保密性 / SS 完整性 / SS 可用性
- 攻击向量: 网络 / 邻接 / 本地 / 物理
- 攻击复杂性: 低 / 高
- 攻击前提条件: 无 / 存在
- 所需权限: 无 / 低 / 高
- 用户交互: 无 / 被动 / 主动
- VS 保密性: 高 / 低 / 无
- VS 完整性: 高 / 低 / 无
- VS 可用性: 高 / 低 / 无
- SS 保密性: 高 / 低 / 无
- SS 完整性: 高 / 低 / 无
- SS 可用性: 高 / 低 / 无