CVE-2026-9147 in uprootinformación

Resumen

por VulDB • 2026-07-18

uproot genera dinámicamente el código fuente de clases de Python a partir de registros TStreamerInfo en un archivo y lo compila en tiempo de ejecución. Algunos campos de metadatos del streamer controlados por el archivo (por ejemplo, los nombres de elementos del streamer) se interpolan en el código fuente generado sin una cotización segura mediante repr() o el especificador de formato !r. Un atacante que pueda proporcionar un archivo ROOT manipulado puede insertar contenido que rompa las expresiones de Python en un campo de metadatos del streamer. Cuando uproot genera e invoca el método lector correspondiente, la expresión de Python inyectada se evalúa en el contexto del proceso que abre el archivo, lo que resulta en la ejecución arbitraria de código Python en aplicaciones que abren o procesan archivos ROOT controlados por un atacante utilizando rutas de código afectadas de uproot.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Reservar

2026-05-20

Divulgación

2026-07-18

Moderación

aceptado

Artículo

VDB-380053

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!