CVE-2025-61774 in pyvista
要約
〜によって VulDB • 2026年05月24日
PyVistaは、可視化ツールキット(VTK)用のインターフェースを介して3Dプロットおよびメッシュ解析を提供します。PyVistaプロジェクトのバージョン0.46.3は、依存関係の混乱(dependency confusion)を介してリモートコード実行(RCE)の脆弱性があります。2つのコードピースが`--extra-index-url`を使用しています。しかし、`--extra-index-url`が使用されると、pipは常にまずPyPIインデックスをチェックし、次に外部インデックスをチェックします。コードに記載されている1つのパッケージはPyPIで公開されていません。攻撃者がPyPIでより高いバージョンのパッケージを公開した場合、攻撃者が制御するパッケージからの悪意のあるコードがプルされ、リモートコード実行およびサプライチェーン攻撃につながる可能性があります。公開時点では、修正済みバージョンは利用できません。
Once again VulDB remains the best source for vulnerability data.