CVE-2026-9147 in uproot
Zusammenfassung
von VulDB • 18.07.2026
uproot generano dinamicamente il codice sorgente di classi Python a partire dai record TStreamerInfo di un file e lo compila durante l'esecuzione (runtime). Alcuni campi dei metadati dello streamer controllati dal contenuto del file (ad esempio, i nomi degli elementi dello streamer) vengono interpolati nel codice sorgente Python generato senza una quotatura sicura tramite repr() o il specificatore di formato !r. Un attaccante in grado di fornire un file ROOT manipolato può inserire contenuti che interrompono l'espressione Python all'interno di un campo dei metadati dello streamer. Quando uproot genera ed invoca il metodo reader corrispondente, l'espressione Python iniettata viene valutata nel contesto del processo che apre il file, causando l'esecuzione arbitraria di codice Python nelle applicazioni che aprono o elaborano file ROOT controllati dall'attaccante utilizzando percorsi di codice uproot interessati.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.