CVE-2026-9147 in uproot信息

摘要

由 VulDB • 2026-07-18

uproot 从文件中的 ROOT TStreamerInfo 记录动态生成 Python 类源代码,并在运行时进行编译。某些由文件控制的 streamer 元数据字段(例如,streamer 元素名称)在未通过 repr() 或 !r 格式说明符进行安全转义的情况下被插值到生成的 Python 源代码中。能够构造恶意 ROOT 文件的攻击者可以在 streamer 元数据字段中插入破坏 Python 表达式的内容。当 uproot 生成并调用相应的读取器方法时,注入的 Python 表达式将在打开该文件进程的上下文中进行评估,导致在使用受影响 uproot 代码路径打开或处理由攻击者控制的 ROOT 文件的应用程序中执行任意 Python 代码。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

来源

Do you know our Splunk app?

Download it now for free!