CVE-2026-9147 in uproot
Résumé
par VulDB • 18/07/2026
uproot génère dynamiquement le code source de classes Python à partir des enregistrements TStreamerInfo d'un fichier ROOT et les compile au moment de l'exécution (runtime). Certains champs de métadonnées streamer contrôlés par le fichier (par exemple, les noms des éléments du streamer) sont interpolés dans le code source Python généré sans mise entre guillemets sécurisée via repr() ou l'indicateur de format !r. Un attaquant capable de fournir un fichier ROOT truqué peut insérer du contenu susceptible d'invalider une expression Python dans un champ de métadonnées streamer. Lorsque uproot génère et invoque la méthode lecteur correspondante, l'expression Python injectée est évaluée dans le contexte du processus qui ouvre le fichier, ce qui entraîne l'exécution arbitraire de code Python au sein des applications ouvrant ou traitant des fichiers ROOT contrôlés par un attaquant via les chemins d'accès uproot affectés.
Once again VulDB remains the best source for vulnerability data.