何が起きたか
CVE-2026-56304(CVSS 6.5)は2026年6月20日にpicklescanに対して公開されました。picklescanは、Python モデルファイル(PyTorch .pkl、.ptなど)で悪意あるpickleオペコードを検出するための広く使用されているオープンソースツールです。ロギングFileHandlerコードパス内の欠陥により、悪意あるモデルファイルがpicklescanにそのファイルを処理する際にスキャンホスト上に任意のファイルを作成させます。
なぜ重要か
picklescanはMLパイプラインにおけるpickleベースのモデル毒化攻撃に対する主要な防御です(Hugging Face Hub、多くのCI/CD統合、およびモデルリポジトリで使用)。スキャナー自体の脆弱性は特に有害です。検出対象のまさに攻撃アーティファクトでトリガーされる可能性があり、スキャンパイプラインは多くの場合、昇格された権限で実行されるからです。成功したエクスプロイトはセキュリティツールを攻撃ベクトルに変えます。
攻撃経路
細工されたモデルファイルがpicklescanでスキャンされると、logging.FileHandlerパスがトリガーされ、攻撃者制御のファイル名がスキャンを実行しているマシン上のファイル作成に使用される方法で、任意の内容を任意のパスに書き込むことが可能になります。
影響を受けるシステム
picklescan(2026年6月20日に公開された影響を受けるリリースを含むすべてのバージョン)
緩和策
picklescan GitHubリポジトリでパッチ済みリリースを監視してください。CI/CDパイプラインでのpicklescan使用法を確認し、昇格された権限を持つ信頼できないモデルファイルのスキャンを避けてください。アドバイザリ:https://cve.circl.lu/vuln/cve-2026-56304