Byla objevena kritická zranitelnost v NumPy CVE-2019–6446. Zranitelné jsou verze 1.10 (2015) – 1.16 (14. ledna 2019). Problém je v modulu pickle, pokud nahrajete škodlivý kód pomocí numpy.load
spolu s allow_pickle
(zavedeno právě ve verzi 1.10), tak může dojít ke spuštění kódu.
Dočasným řešením je tedy nastavit allow_pickle
na false
, což bude patrně také výchozí nastavení v NumPy 1.17.
(zdroj: bleepingcomputer)