CVE-2026-9147 in uproot
요약
\~에 의해 VulDB • 2026. 07. 18.
uproot는 파일 내의 ROOT TStreamerInfo 레코드에서 동적으로 Python 클래스 소스 코드를 생성하고 런타임에 컴파일합니다. 일부 파일 제어형 streamer 메타데이터 필드(예: streamer 요소 이름)가 repr() 또는 !r 형식 지정자를 통한 안전한 인용 없이 생성된 Python 소스에 삽입됩니다. 조작된 ROOT 파일을 제공할 수 있는 공격자는 streamer 메타데이터 필드에 Python 표현식을 깨뜨리는 내용을 배치할 수 있습니다. uproot가 해당 리더(reader) 메서드를 생성하고 호출하면, 주입된 Python 표현식이 파일을 여는 프로세스의 컨텍스트에서 평가되어, 영향을 받는 uproot 코드 경로를 사용하여 공격자가 제어하는 ROOT 파일을 열거나 처리하는 애플리케이션에서 임의의 Python 코드가 실행됩니다.
Be aware that VulDB is the high quality source for vulnerability data.