圧縮解凍ライブラリ「py7zr」にパストラバーサルの脆弱性

7zファイルの圧縮や解凍などの機能を提供するPythonベースのライブラリ「py7zr」に脆弱性が明らかとなり、アップデートがリリースされた。

「同0.20.0」「同0.19.0」「同0.18.10」および以前のバージョンにパストラバーサルの脆弱性「CVE-2022-44900」が判明したもの。細工したアーカイブファイルを解凍すると、ローカル上へ任意のファイルを書き込まれるおそれがある。

米国立標準技術研究所（NIST）の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は「クリティカル（Critical）」とレーティングされている。

脆弱性の報告を受けた開発者では、脆弱性に対処した「同0.20.2」を11月2日に公開。修正内容をバックポートした「同0.19.2」「同0.18.12」をあわせて提供しており、アップデートを呼びかけている。

脆弱性に関しては、アップデートのリリース後、CVE番号が付番されており、12月6日に脆弱性の報告者によって詳細が公表されている。

（Security NEXT - 2022/12/12 ） ツイート

PR

関連記事

Fortinetのサンドボックス製品に深刻なRCE脆弱性 - 修正版へ更新を
Apple、「iOS 26.5」「iPadOS 26.5」で多数脆弱性を修正 - 旧端末向け更新も
「FortiAuthenticator」に深刻な脆弱性 - 認証なしでコード実行のおそれ
Mozilla、「Firefox 150.0.3」を公開 - 脆弱性5件を修正
MS、5月の月例セキュリティ更新をリリース - 脆弱性118件に対応
ワンコインチケットの申込フォームで設定ミス - 佐賀バスケチーム
投票所で作成した衆院選投票録が所在不明 - 横浜市鶴見区
ランサム攻撃でシステム障害、一部業務に影響 - 医薬品卸
JetBrains「TeamCity」にAPI露出の脆弱性 - ゲストも悪用可能
3月はフィッシング報告数が約2倍 - 悪用URLは4倍超