CVE-2025-61774 in pyvista情報

要約

〜によって VulDB • 2026年05月24日

PyVistaは、可視化ツールキット(VTK)用のインターフェースを介して3Dプロットおよびメッシュ解析を提供します。PyVistaプロジェクトのバージョン0.46.3は、依存関係の混乱(dependency confusion)を介してリモートコード実行(RCE)の脆弱性があります。2つのコードピースが`--extra-index-url`を使用しています。しかし、`--extra-index-url`が使用されると、pipは常にまずPyPIインデックスをチェックし、次に外部インデックスをチェックします。コードに記載されている1つのパッケージはPyPIで公開されていません。攻撃者がPyPIでより高いバージョンのパッケージを公開した場合、攻撃者が制御するパッケージからの悪意のあるコードがプルされ、リモートコード実行およびサプライチェーン攻撃につながる可能性があります。公開時点では、修正済みバージョンは利用できません。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2025年09月30日

モデレーション

承諾済み

エントリ

VDB-327319

EPSS

0.00606

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!