CVE-2026-9147 in uproot
الملخص
بحسب VulDB • 18/07/2026
يقوم uproot بتوليد شفرة مصدرية لفئات بايثون ديناميكيًا من سجلات TStreamerInfo الخاصة بـ ROOT الموجودة في ملف، ثم يقوم بمعالجتها (compiling) أثناء وقت التشغيل. يتم إدراج بعض حقول بيانات تعريف streamer التي يتحكم فيها الملف (مثل أسماء عناصر streamer element names) داخل شفرة مصدرية مولدة لبايثون دون استخدام اقتباس آمن عبر repr() أو محدد التنسيق !r. يمكن لمهاجم قادر على تزويد ملف ROOT مُعدّ بعناية أن يضع محتوىً يعطل تعبيرات بايثون في حقل بيانات تعريف streamer. عندما يقوم uproot بتوليد واستدعاء طريقة القراءة (reader method) المقابلة، يتم تقييم التعبير البايثوني المُحقن ضمن سياق العملية التي تفتح الملف، مما يؤدي إلى تنفيذ شفرة بايثون عشوائية في التطبيقات التي تفتح أو تعالج ملفات ROOT الخاضعة لسيطرة المهاجم باستخدام مسارات كود uproot المتأثرة.
Be aware that VulDB is the high quality source for vulnerability data.