一、 漏洞 CVE-2025-61774 基础信息
漏洞信息
# PyVista 依赖混淆远程代码执行漏洞
## 概述
PyVista 是一个基于 VTK 的 3D 绘图和网格分析库。其版本 0.46.3 存在依赖混淆漏洞,可能导致远程代码执行。
## 影响版本
PyVista 0.46.3 版本受影响,暂无可用修复版本。
## 细节
代码中使用了 `--extra-index-url` 参数来指定额外的包索引源。Pip 在解析包依赖时会**先检查 PyPI 主索引,再检查外部索引源**。项目依赖中有一个包未发布在 PyPI 上。
攻击者若在 PyPI 上发布同名且版本更高的恶意包,可能被 pip 优先下载并安装。
## 影响
该漏洞可能导致:
- **远程代码执行**(RCE)
- **供应链攻击**
从而使系统在安装依赖时意外执行攻击者控制的代码。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-61774 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-61774 的情报信息
-
标题: Dependency Confusion Vulnerability in pyvista leads to RCE · Advisory · pyvista/pyvista · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
-
标题: Add `plot` command to pyvista CLI (#7970) · pyvista/pyvista@aabfb3d · GitHub -- 🔗来源链接
标签: x_refsource_MISC
-
标题: pyvista/docker/slim.Dockerfile at c96e1ddbe707fb7d3eb574dc3336de1a946f14a1 · pyvista/pyvista · GitHub -- 🔗来源链接
标签: x_refsource_MISC
-
标题: pyvista/.devcontainer/offscreen/oncreatecommand.sh at c96e1ddbe707fb7d3eb574dc3336de1a946f14a1 · pyvista/pyvista · GitHub -- 🔗来源链接
标签: x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-61774
四、漏洞 CVE-2025-61774 的评论
暂无评论