무슨 일이 있었나
CVE-2026-56304(CVSS 6.5)는 Python 모델 파일(PyTorch .pkl, .pt 등)에서 악성 pickle 옷코드를 탐지하기 위한 널리 사용되는 오픈소스 도구인 picklescan에 대해 2026년 6월 20일 게시되었습니다. 로깅.FileHandler 코드 경로의 결함으로 인해 악성 제작 모델 파일이 picklescan이 파일을 처리할 때 스캔 호스트에서 임의의 파일을 생성하게 할 수 있습니다.
왜 중요한가
picklescan은 ML 파이프라인에서 pickle 기반 모델 중독 공격에 대한 주요 방어 수단입니다(Hugging Face Hub, 많은 CI/CD 통합 및 모델 저장소에서 사용됨). 스캐너 자체의 취약점은 특히 해로운데, 이는 탐지하려고 하는 바로 그 공격 아티팩트에 의해 트리거될 수 있기 때문이며, 또한 스캔 파이프라인이 종종 높은 권한으로 실행되기 때문입니다. 성공적인 악용은 보안 도구를 공격 벡터로 변환합니다.
공격 경로
제작된 모델 파일이 picklescan에 의해 스캔될 때, 로깅.FileHandler 경로를 트리거하는 방식으로 공격자 제어 파일명이 스캔을 실행하는 머신의 임의 경로에 파일을 생성하는 데 사용될 수 있습니다.
영향받는 시스템
picklescan(2026년 6월 20일 게시된 영향을 받는 릴리스를 포함한 모든 버전)
완화 방안
picklescan GitHub 저장소에서 패치된 릴리스를 모니터링하세요. CI/CD 파이프라인에서의 picklescan 사용을 검토하고 높은 권한으로 신뢰할 수 없는 모델 파일을 스캔하지 않도록 하세요. 권고: https://cve.circl.lu/vuln/cve-2026-56304