发布日期：2026-02-06
更新日期：2026-04-09

受影响系统：

Ergon Informatik AG EPyT-Flow < 0.16.1

描述：

---

CVE(CAN) ID: CVE-2026-25632

EPyT-Flow是一个用于生成配水网络的水力和水质场景数据的Python包。
EPyT-Flow 0.16.1之前版本存在不受信数据反序列化漏洞，该漏洞源于REST API使用了一个自定义反序列化器，该反序列化器在解析JSON时支持type字段，并会动态导入攻击者指定的模块/类，攻击者可利用该漏洞构造包含type字段的恶意JSON请求，在JSON解析过程中执行任意操作系统命令，从而实现远程代码执行。

<*链接：https://github.com/WaterFutures/EPyT-Flow/security/advisories/GHSA-74vm-8frp-7w68
*>

建议：

---

厂商补丁：

Ergon Informatik AG
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/WaterFutures/EPyT-Flow/commit/3fff9151494c7dbc72073830b734f0a7e550e385

浏览次数：38
严重程度：0（网友投票）