CVE-2025-56005

Vulnérabilité dans PLY : exécution de code à distance via picklefile

Une fonctionnalité non documentée et dangereuse dans la version 3.11 de la librairie Python PLY (Python Lex-Yacc) permet l’exécution de code à distance (RCE). La vulnérabilité, identifiée par le CVE-2025-56005, est liée au paramètre picklefile de la fonction yacc().

Ce paramètre accepte la désérialisation de fichiers .pkl sans validation adéquate. Les attaquants peuvent exploiter cette faiblesse en fournissant un fichier pickle malveillant. Le module pickle en Python est capable d’exécuter du code embarqué via sa méthode __reduce__().

Bien que ce paramètre ne soit pas mentionné dans la documentation officielle ni dans le dépôt GitHub de PLY, il est présent dans la version disponible sur PyPI, créant un risque potentiel de porte dérobée et de persistance.

Points clés :

• Produit affecté : Librairie PLY (Python Lex-Yacc)
• Version affectée : 3.11
• Type de vulnérabilité : Exécution de code à distance (RCE)
• Mécanisme d’attaque : Désérialisation de fichiers pickle malveillants via le paramètre picklefile.
• Paramètre vulnérable : picklefile dans la fonction yacc().
• Risques : Porte dérobée, persistance.

Vulnérabilité :

• CVE : CVE-2025-56005

Recommandations :

• Il est fortement recommandé de ne pas utiliser le paramètre picklefile dans la fonction yacc() de PLY, surtout si le contenu du fichier pickle n’est pas entièrement contrôlé et fiable.
• Surveiller les mises à jour de la librairie PLY pour des correctifs ou des clarifications concernant cette fonctionnalité.

Source