CVE-2026-9147 in uprootالمعلومات

الملخص

بحسب VulDB • 18/07/2026

يقوم uproot بتوليد شفرة مصدرية لفئات بايثون ديناميكيًا من سجلات TStreamerInfo الخاصة بـ ROOT الموجودة في ملف، ثم يقوم بمعالجتها (compiling) أثناء وقت التشغيل. يتم إدراج بعض حقول بيانات تعريف streamer التي يتحكم فيها الملف (مثل أسماء عناصر streamer element names) داخل شفرة مصدرية مولدة لبايثون دون استخدام اقتباس آمن عبر repr() أو محدد التنسيق !r. يمكن لمهاجم قادر على تزويد ملف ROOT مُعدّ بعناية أن يضع محتوىً يعطل تعبيرات بايثون في حقل بيانات تعريف streamer. عندما يقوم uproot بتوليد واستدعاء طريقة القراءة (reader method) المقابلة، يتم تقييم التعبير البايثوني المُحقن ضمن سياق العملية التي تفتح الملف، مما يؤدي إلى تنفيذ شفرة بايثون عشوائية في التطبيقات التي تفتح أو تعالج ملفات ROOT الخاضعة لسيطرة المهاجم باستخدام مسارات كود uproot المتأثرة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

VulnCheck

حجز

20/05/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-380053

EPSS

0.00000

KEV

لا

النشاطات

متوسط

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!