老牌Python解析庫PLY爆重大RCE漏洞,未記載picklefile參數恐成攻擊入口
漏洞詳情與影響範圍
資安研究人員揭露,Python解析庫PLY存在重大資安漏洞CVE-2025-56005,問題來自一項未文件化的picklefile參數。由於專案已停止維護,開發團隊需自行盤點並更新其使用環境。
漏洞機制與風險分析
該漏洞根源在於,若開發者在呼叫yacc()函式時使用了官方文件完全未記載的picklefile參數,PLY將會使用Python的pickle.load()進行反序列化,且無任何驗證機制。
此行為導致攻擊者可透過提供惡意的.pkl檔案,誘導PLY載入並執行任意程式碼,進而實現遠端程式碼執行(RCE)。
相關技術與來源
- CVE編號:CVE-2025-56005
- 影響版本:PLY 3.11版本
- 漏洞類型:未記載的遠端程式碼執行(RCE)
- 風險等級:重大(Critical),CVSS 3.1基礎評分達9.8
此漏洞已被記錄於阿里雲漏洞庫(AVD-2025-56005)與oss-security安全郵件列表,並由安全研究人員Ahmed Abd報告,公開披露日期為2025年7月1日。
後續建議
由於PLY專案已停止維護,建議使用者盡快評估其在實際應用中的使用必要性,並考慮遷移至其他更活躍且有安全更新的解析工具。