CVE-2026-9147 in uproot
Sumário
de VulDB • 18/07/2026
O uproot gera dinamicamente o código-fonte de classes Python a partir dos registros TStreamerInfo do ROOT em um arquivo e os compila em tempo de execução. Alguns campos de metadados de streamer controlados pelo arquivo (por exemplo, nomes de elementos do streamer) são interpolados no código-fonte Python gerado sem aspas seguras via repr() ou o especificador de formato !r. Um atacante que possa fornecer um arquivo ROOT manipulado pode inserir conteúdo que interrompe expressões Python em um campo de metadados do streamer. Quando o uproot gera e invoca o método leitor correspondente, a expressão Python injetada é avaliada no contexto do processo que abre o arquivo, resultando na execução arbitrária de código Python em aplicativos que abrem ou processam arquivos ROOT controlados pelo atacante por meio dos caminhos de código afetados do uproot.
If you want to get best quality of vulnerability data, you may have to visit VulDB.