CVE-2026-9147 in uprootinformation

Résumé

par VulDB • 18/07/2026

uproot génère dynamiquement le code source de classes Python à partir des enregistrements TStreamerInfo d'un fichier ROOT et les compile au moment de l'exécution (runtime). Certains champs de métadonnées streamer contrôlés par le fichier (par exemple, les noms des éléments du streamer) sont interpolés dans le code source Python généré sans mise entre guillemets sécurisée via repr() ou l'indicateur de format !r. Un attaquant capable de fournir un fichier ROOT truqué peut insérer du contenu susceptible d'invalider une expression Python dans un champ de métadonnées streamer. Lorsque uproot génère et invoque la méthode lecteur correspondante, l'expression Python injectée est évaluée dans le contexte du processus qui ouvre le fichier, ce qui entraîne l'exécution arbitraire de code Python au sein des applications ouvrant ou traitant des fichiers ROOT contrôlés par un attaquant via les chemins d'accès uproot affectés.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Réserver

20/05/2026

Divulgation

18/07/2026

Modérer

accepté

Entrée

VDB-380053

CPE

prêt

EPSS

0.00000

KEV

non

Activités

moyen

Sources

Interested in the pricing of exploits?

See the underground prices here!