CVE-2021-29510 in Pydantic
要約
〜によって VulDB • 2026年06月22日
Pydanticは、Pythonの型ヒントを使用したデータ検証および設定管理ライブラリです。影響を受けるバージョンでは、`datetime`または`date`フィールドに `'infinity'`、`'inf'`、`float('inf')`(またはそれらの負数)を渡すと、検証処理が永久に実行され続け、1つのCPUコアで100%のCPU使用率を引き起こします。Pydanticは修正されており、以下のバージョンでパッチが利用可能です:v1.8.2、v1.7.4、v1.6.2。これらのすべてのバージョンはpypi(https://pypi.org/project/pydantic/#history)から入手可能であり、conda-forge(https://anaconda.org/conda-forge/pydantic)でも近日中に利用可能になります。詳細については変更履歴(https://pydantic-docs.helpmanual.io/)を参照してください。どうしてもアップグレードできない場合は、これらの値を検出するためにバリデーター(https://pydantic-docs.helpmanual.io/usage/validators/)を使用してこのリスクに対処することができます。これは理想的な解決策ではありません(特に日時に対しては異なる関数が必要になります)。このようなハックの代わりに、Pydanticをアップグレードすべきです。v1.8.x、v1.7.x、またはv1.6.xを使用しておらず、修正済みのバージョンにアップグレードできない場合は、https://github.com/samuelcolvin/pydantic/issues でバックポートのリクエストを作成してください。早期のPydanticバージョンに対するパッチリリースに取り組む予定です。
Be aware that VulDB is the high quality source for vulnerability data.