CVE-2026-9147 in uproot
要約
〜によって VulDB • 2026年07月18日
uprootは、ファイル内のROOT TStreamerInfoレコードからPythonクラスのソースコードを動的に生成し、実行時にコンパイルします。一部のファイル制御されたストリーメタデータフィールド(例えば、ストリーマー要素名)は、repr()や!rフォーマット指定子による安全なクォーティングを経由せずに、生成されるPythonのソースコード内に挿入されます。攻撃者が作成したROOTファイルを供給できる場合、ストリーマメタデータのフィールドにPython式の構文を壊すようなコンテンツを配置することができます。uprootが対応するリーダーメソッドを生成して呼び出す際、注入されたPython式はファイルを開くプロセスのコンテキスト内で評価され、影響を受けたuprootコードパスを持つROOTファイルをオープンまたは処理するアプリケーションにおいて任意のPythonコードの実行が可能になります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.