کشف آسیب‌پذیری در کتابخانه‌ی پایتون

آسیب‌پذیری CVE-2025-58367 با شدت بحرانی در کتابخانه‌ی DeepDiff نسخه‌های 5.0.0 تا 8.6.0 کشف شده است. این نقص ناشی از Class Pollution در سازنده‌ی Delta و ترکیب آن با یک gadget در DeltaDiff است. مهاجم می‌تواند مقدار داخلی SAFE_TO_IMPORT را تغییر داده و کلاس‌های خطرناکی مثل posix.system را بارگذاری کند. سپس از طریق Pickle Deserialization ناامن امکان اجرای کد دلخواه (RCE) و همچنین حمله DoS وجود دارد. این آسیب‌پذیری در شرایطی رخ می‌دهد که ورودی Delta توسط کاربر کنترل شود و شدت آن در سطح بحرانی ارزیابی شده است. بهره‌برداری موفق می‌تواند منجر به اجرای کد از راه دور، حملات منع سرویس و افزایش سطح دسترسی گردد.

محصولات تحت‌تأثیر

• DeepDiff نسخه‌های 5.0.0 تا 8.6.0 (کتابخانه متن‌باز پایتون برای مقایسه و آنالیز داده‌ها).
• هر برنامه یا فریم‌ورک پایتون که در پیاده‌سازی خود از DeepDiff (به‌ویژه کلاس Delta) استفاده می‌کند و ورودی‌های کاربر را بدون اعتبارسنجی پردازش می‌نماید.
• سیستم‌هایی که داده‌های خارجی (user-controlled input) را با DeepDiff پردازش می‌کنند، بیشترین ریسک را دارند، زیرا می‌تواند منجر به DoS یا Remote Code Execution شود.

توصیه‌های امنیتی

• ارتقا به نسخه‌ی 8.6.1 یا جدیدتر.
• جلوگیری از استفاده از Pickle ناامن برای ورودی‌های کاربر.
• اعتبارسنجی و ضدعفونی تمام داده‌های ورودی قبل از پردازش در DeepDiff.
• اجرای سرویس‌ها در محیط ایزوله (Docker / VM / Sandbox).
• اعمال اصل کمترین سطح دسترسی (Least Privilege) برای سرویس‌ها.
• بررسی و مانیتورینگ لاگ‌ها برای تشخیص رفتار مشکوک.
• استفاده از روش‌های امن‌تر سریال‌سازی (مثل JSON) به‌جای Pickle.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-58367