CVE-2025-56005
Mis à jour :
Vulnérabilité critique dans la librairie PLY : Exécution de code à distance
Une fonctionnalité non documentée et dangereuse a été découverte dans la version 3.11 de la librairie PLY (Python Lex-Yacc). Cette vulnérabilité, référencée CVE-2025-56005, permet une exécution de code à distance (RCE) via le paramètre picklefile de la fonction yacc().
Ce paramètre, qui n’apparaît ni dans la documentation officielle ni sur le dépôt GitHub du projet, accepte la désérialisation de fichiers .pkl sans validation adéquate. Le module pickle de Python est capable d’exécuter du code embarqué via sa méthode __reduce__(), ouvrant ainsi la porte à des attaques.
Points Clés :
- Une fonctionnalité cachée et non sécurisée dans PLY 3.11.
- Permet l’exécution de code à distance.
- Le paramètre
picklefiledésérialise des fichiers.pklsans vérification.
Vulnérabilité :
- CVE : CVE-2025-56005
- Type : Exécution de code à distance (RCE)
- Composant affecté : Librairie PLY (Python Lex-Yacc) version 3.11
- Mécanisme : Désérialisation non sécurisée de fichiers pickle via le paramètre
picklefilede la fonctionyacc().
Recommandations :
Bien que l’article n’émette pas de recommandations spécifiques, il est implicitement conseillé de :
- Mettre à jour la librairie PLY vers une version corrigée dès qu’elle sera disponible.
- Éviter d’utiliser des fichiers pickle provenant de sources non fiables.
- Examiner attentivement l’utilisation de la fonction
yacc()et de ses paramètres dans le code existant. - Restez vigilant quant aux fonctionnalités non documentées dans les librairies utilisées.