Недокументированная и небезопасная функция в библиотеке PLY (Python Lex-Yacc) 3.11 позволяет выполнять удаленное выполнение кода (RCE) через параметр Picklefile в функции yacc(). Этот параметр принимает файл `.pkl`, который десериализуется с помощью `pickle.load()` без проверки. Поскольку `pickle` позволяет выполнять встроенный код через `__reduce__()`, злоумышленник может добиться выполнения кода, передав вредоносный файл Pickle. Этот параметр не упоминается ни в официальной документации, ни в репозитории GitHub, однако он активен в версии PyPI. Это создает скрытый бэкдор и риск персистентности.
Показать оригинальное описание (английский)
An undocumented and unsafe feature in the PLY (Python Lex-Yacc) library 3.11 allows Remote Code Execution (RCE) via the `picklefile` parameter in the `yacc()` function. This parameter accepts a `.pkl` file that is deserialized with `pickle.load()` without validation. Because `pickle` allows execution of embedded code via `__reduce__()`, an attacker can achieve code execution by passing a malicious pickle file. The parameter is not mentioned in official documentation or the GitHub repository, yet it is active in the PyPI version. This introduces a stealthy backdoor and persistence risk.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H