CVE-2026-9147 in uproot情報

要約

〜によって VulDB • 2026年07月18日

uprootは、ファイル内のROOT TStreamerInfoレコードからPythonクラスのソースコードを動的に生成し、実行時にコンパイルします。一部のファイル制御されたストリーメタデータフィールド(例えば、ストリーマー要素名)は、repr()や!rフォーマット指定子による安全なクォーティングを経由せずに、生成されるPythonのソースコード内に挿入されます。攻撃者が作成したROOTファイルを供給できる場合、ストリーマメタデータのフィールドにPython式の構文を壊すようなコンテンツを配置することができます。uprootが対応するリーダーメソッドを生成して呼び出す際、注入されたPython式はファイルを開くプロセスのコンテキスト内で評価され、影響を受けたuprootコードパスを持つROOTファイルをオープンまたは処理するアプリケーションにおいて任意のPythonコードの実行が可能になります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

VulnCheck

予約する

2026年05月20日

モデレーション

承諾済み

エントリ

VDB-380053

EPSS

0.00000

アクティビティ

低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!