Wiz
Banco de Dados de VulnerabilidadesCVE-2025-63675

CVE-2025-63675
Python Análise e mitigação de vulnerabilidades

Visão geral

A remote code execution vulnerability was discovered in the cryptidy Python library through version 1.2.4. The vulnerability stems from the unsafe use of pickle.loads in the aesdecryptmessage function within symmetric_encryption.py, which allows for deserialization of untrusted data (GitHub Analysis, NVD).

Detalhes técnicos

The vulnerability is classified as CWE-502 (Deserialization of Untrusted Data) with a CVSS v3.1 base score of 6.9 (Medium). The attack vector is local (AV:L), requires high attack complexity (AC:H), needs no privileges (PR:N), and no user interaction (UI:N). The scope is unchanged (S:U) with high impacts on confidentiality (C:H) and integrity (I:H), and low impact on availability (A:L) (NVD).

Impacto

The vulnerability can lead to remote code execution (RCE), information disclosure, denial of service, and potential privilege escalation when malicious encrypted data is processed by the affected component (GitHub Analysis).

Mitigação e soluções alternativas

Security researchers recommend avoiding pickle for untrusted input and suggest using safe formats such as JSON or vetted serialization libraries with explicit schemas. If binary serialization is required, implement strict validation and restrict the set of permitted classes during deserialization. Additionally, applying the principle of least privilege is recommended to ensure code that performs deserialization runs with minimal privileges (GitHub Analysis).

Recursos adicionais

OrigemEste relatório foi gerado usando IA

Relacionado Python Vulnerabilidades:

CVE ID

Gravidade

Pontuação

Tecnologias

Nome do componente

Exploração do CISA KEV

Tem correção

Data de publicação

CVE-2025-12060HIGH8.9
  • PythonPython
  • py3-keras
NãoSimOct 30, 2025
CVE-2025-6176HIGH7.5
  • PythonPython
  • python-scrapy
NãoNãoOct 31, 2025
CVE-2025-64168HIGH7.1
  • PythonPython
  • agno
NãoSimOct 31, 2025
CVE-2025-63675MEDIUM6.9
  • PythonPython
  • cryptidy
NãoNãoOct 31, 2025
CVE-2025-50736LOW2
  • PythonPython
  • pdf2zh
NãoNãoOct 30, 2025

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Recursos adicionais da Wiz

PEACH

PEACH

Uma estrutura de isolamento de inquilino

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."
David EstlickCISO
"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."
Adão FletcherDiretor de Segurança
"Sabemos que se a Wiz identifica algo como crítico, na verdade é."
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades
Ver demonstração