Base de datos de vulnerabilidadesCVE-2025-10950

CVE-2025-10950:
Python Análisis y mitigación de vulnerabilidades

Vista general

A deserialization vulnerability was identified in geyang ml-logger up to commit acf255bade5be6ad88d90735c8367b28cbe3a743. The vulnerability affects the loghandler function in the mllogger/server.py component of the Ping Handler. The issue was discovered and reported on September 11, 2025, and was assigned CVE-2025-10950 (VulDB, GitHub Issue).

Técnicas

The vulnerability stems from unsafe deserialization in the loghandler function within mllogger/server.py. The function uses cloudpickle.loads for deserialization of untrusted input data, which can lead to remote code execution. The vulnerability has received a CVSS v4.0 score of 5.3 (Medium) and CVSS v3.1 score of 6.3 (Medium). The issue has been classified under CWE-20 (Improper Input Validation) and CWE-502 (Deserialization of Untrusted Data) (NVD).

Impacto

The vulnerability allows remote attackers to execute arbitrary code on both the server and user systems through manipulation of deserialized data. This can lead to complete system compromise and unauthorized access to the affected systems (GitHub Issue).

Mitigación y soluciones alternativas

The recommended mitigation is to avoid using cloudpickle.loads for parsing request and response bodies, and instead implement json.loads for safer data handling. As the product uses a rolling release model, users should update to a version after the identified vulnerable commit (GitHub Issue).

Recursos adicionales

Fuente: Este informe se generó utilizando IA

Visualización de instancias vulnerables

¿No eres cliente de Wiz? Vea qué CVE se pueden explotar en su entorno.

Obtenga una evaluación de CVE

5.3

Puntuación

Publicado September 25, 2025

Severidad MEDIUM

Puntuación CNA 5.3

Tecnologías afectadas

Python

Tiene exploit público No

Tiene el exploit CISA KEV No

Fecha de lanzamiento de CISA KEV N/A

Fecha de vencimiento de CISA KEV N/A

Percentil de probabilidad de explotación (EPSS) 11.8

Probabilidad de Explotación (EPSS) N/A

Paquetes y bibliotecas afectados

ml-logger

Fuentes

NVD
GitHub Advisory Database
- pip Severidad LOWNo hay soluciónAñadido en:Sep 28, 2025

Obtén una evaluación de riesgo CVE

Obtén una vista priorizada de los CVEs en tu nube, para que puedas centrarte en lo que es explotable, no solo en lo que está listado.

Solicitar evaluación

Relacionado Python Vulnerabilidades:

CVE ID	Severidad	Puntuación	Tecnologías	Nombre del componente	Exploit de CISA KEV	Tiene arreglo	Fecha de publicación
CVE-2025-7647	HIGH	7.3	Python	llama-index-core	No	Sí	Sep 27, 2025
CVE-2025-10951	MEDIUM	6.9	Python	ml-logger	No	No	Sep 25, 2025
CVE-2025-59940	MEDIUM	6.5	Python	mkdocs-include-markdown-plugin	No	Sí	Sep 29, 2025
CVE-2025-10952	MEDIUM	5.5	Python	ml-logger	No	No	Sep 25, 2025
CVE-2025-10950	MEDIUM	5.3	Python	ml-logger	No	No	Sep 25, 2025

Evaluación gratuita de vulnerabilidades

Compare su postura de seguridad en la nube

Evalúe sus prácticas de seguridad en la nube en 9 dominios de seguridad para comparar su nivel de riesgo e identificar brechas en sus defensas.

Solicitar evaluación

Recursos adicionales de Wiz

Obtén una demostración personalizada

¿Listo para ver a Wiz en acción?

"La mejor experiencia de usuario que he visto en mi vida, proporciona una visibilidad completa de las cargas de trabajo en la nube."

David EstlickCISO

"Wiz proporciona un panel único para ver lo que ocurre en nuestros entornos en la nube."

Adam FletcherJefe de Seguridad

"Sabemos que si Wiz identifica algo como crítico, en realidad lo es."

Greg PoniatowskiJefe de Gestión de Amenazas y Vulnerabilidades

Solicita una demo

CVE-2025-10950: Python Análisis y mitigación de vulnerabilidades