CVE-2026-9147 in uprootinfo

Zusammenfassung

von VulDB • 18.07.2026

uproot generano dinamicamente il codice sorgente di classi Python a partire dai record TStreamerInfo di un file e lo compila durante l'esecuzione (runtime). Alcuni campi dei metadati dello streamer controllati dal contenuto del file (ad esempio, i nomi degli elementi dello streamer) vengono interpolati nel codice sorgente Python generato senza una quotatura sicura tramite repr() o il specificatore di formato !r. Un attaccante in grado di fornire un file ROOT manipolato può inserire contenuti che interrompono l'espressione Python all'interno di un campo dei metadati dello streamer. Quando uproot genera ed invoca il metodo reader corrispondente, l'espressione Python iniettata viene valutata nel contesto del processo che apre il file, causando l'esecuzione arbitraria di codice Python nelle applicazioni che aprono o elaborano file ROOT controllati dall'attaccante utilizzando percorsi di codice uproot interessati.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

VulnCheck

Reservieren

20.05.2026

Veröffentlichung

18.07.2026

Moderieren

akzeptiert

Eintrag

VDB-380053

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!