CVE-2026-9147 in uprootИнформация

Сводка

по VulDB • 18.07.2026

uproot динамически генерирует исходный код классов Python на основе записей TStreamerInfo из файлов формата ROOT и компилирует его во время выполнения (runtime). Некоторые поля метаданных стримера, контролируемые содержимым файла (например, имена элементов стримера), интерполируются в сгенерированный исходный код Python без безопасного экранирования через функцию repr() или спецификатор формата !r. Атакующий, способный предоставить специально созданный файл ROOT, может поместить контент, нарушающий синтаксис выражений Python, в поле метаданных стримера. Когда uproot генерирует и вызывает соответствующий метод чтения (reader method), внедренное выражение Python вычисляется в контексте процесса, открывшего файл, что приводит к произвольному выполнению кода Python в приложениях, которые открывают или обрабатывают файлы ROOT, контролируемые атакующим, используя затронутые пути выполнения библиотеки uproot.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

VulnCheck

Резервировать

20.05.2026

Раскрытие

18.07.2026

Модерация

принято

Вход

VDB-380053

EPSS

0.00000

KEV

Нет

Деятельности

Средний

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!