CVE-2025-62703: Fugue, kullanıcıların Python, Pandas ve SQL kodlarını Spark, Dask ve Ray üzer… | Ubiquiti Guvenlik Uyarisi

Aciklama

Fugue, kullanıcıların Python, Pandas ve SQL kodlarını Spark, Dask ve Ray üzerinde minimum değişiklikle çalıştırmasına olanak tanıyan, dağıtık hesaplama için birleşik bir arayüzdür. 0.9.2 ve önceki sürümlerde, FlaskRPCServer üzerinden pickle serileştirmesinin kaldırılması (deserialization) yoluyla uzaktan kod yürütme güvenlik açığı bulunmaktadır. Fugue çerçevesi, dağıtık hesaplama işlemleri için bir RPC sunucu sistemi uygular. RPC sunucu uygulamasının temel işlevselliğinde, fugue/rpc/flask.py dosyasındaki _decode() fonksiyonunun, herhangi bir temizleme işlemi olmaksızın verileri serileştirmesini kaldırmak (deserialize etmek) için doğrudan cloudpickle.loads() kullandığını tespit ettim. Bu durum, kötü amaçlı pickle verileri RPC sunucusu tarafından işlendiğinde bir uzaktan kod yürütme güvenlik açığı oluşturmaktadır. Güvenlik açığı, istemcinin sunucu tarafında serileştirmesi kaldırılacak (deserialize edilecek) ve saldırganların kurbanın makinesinde keyfi kod yürütmesine izin verecek rastgele serileştirilmiş Python nesneleri gönderebildiği RPC iletişim mekanizmasında bulunmaktadır. Bu sorun, 6f25326 commit’i ile düzeltilmiştir.

Kaynak: https://nvd.nist.gov/vuln/detail/CVE-2025-62703

NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-62703

---

Bu bilgiler yalnizca bilgilendirme amaciyla yayinlanmaktadir. Guncelleme ve yama islemleri icin ureticinin resmi kaynaklarini takip ediniz. firewallpazari.com bu bilgilerin dogrulugundan sorumlu tutulamaz.