关键信息 漏洞概述 漏洞类型: 依赖混淆漏洞 (Dependency Confusion) 影响项目: pyvista CVE ID: CVE-2025-61774 严重性: Critical CWE: CWE-94 影响版本 受影响版本: v0.46.3 修复版本: None 描述 问题描述: PyVista 项目在使用 参数时,存在远程代码执行(RCE)风险。 相关文件: - - 漏洞细节 关键代码片段: 问题原因: 当使用 参数时,pip 会优先检查 PyPI 索引,然后再检查外部索引。如果攻击者在 PyPI 上发布了一个更高版本的同名包,会导致恶意代码被拉取并执行。 影响 远程代码执行 供应链攻击 依赖混淆 PoC 测试步骤: 1. 使用命令安装恶意包: 2. 查看包来源: Google Drive 链接 报告人 报告人: slvignesh05