事件经过
CVE-2026-56304(CVSS 6.5)发布于 2026-06-20 针对 picklescan,广泛使用的开源工具用于检测 Python 模型文件(PyTorch .pkl、.pt 等)中的恶意 pickle 操作码。日志记录 FileHandler 代码路径中的缺陷允许精心制作的模型文件在 picklescan 处理该文件时导致 picklescan 在扫描主机上创建任意文件。
影响分析
picklescan 是 ML 管道中针对基于 pickle 的模型中毒攻击的主要防御(由 Hugging Face Hub、许多 CI/CD 集成和模型存储库使用)。扫描程序本身中的漏洞特别有害,因为它可以由它旨在检测的非常攻击工件触发,并且因为扫描管道通常以提升的权限运行。成功的利用会将安全工具变成攻击向量。
攻击途径
当精心制作的模型文件由 picklescan 扫描时,它以允许攻击者控制的文件名用于在扫描主机上创建文件的方式触发日志记录 FileHandler 路径,可能向运行扫描的机器上的任意路径写入任意内容
受影响系统
picklescan(所有版本直到并包括受影响的版本,发布于 2026-06-20)
缓解措施
监视 picklescan GitHub 存储库以获取补丁版本。查看 CI/CD 管道中的 picklescan 使用情况并避免使用提升的权限扫描不受信任的模型文件。公告:https://cve.circl.lu/vuln/cve-2026-56304