Sep 9, 2025

Pythonの国産GUIライブラリ「TkEasyGUI」に深刻な脆弱性 ~任意OSコマンド実行の恐れ

https://forest.watch.impress.co.jp/docs/news/2045040.html (09/05)

『脆弱性の内容は、以下の通り(括弧内はCVSS 4.0のスコア)。

  • CVE-2025-55037OSコマンドインジェクション(9.3
  • CVE-2025-55671:ファイル検索パスの制御不備(8.5

CVE-2025-55037は外部からメッセージを構築する設定にしている場合に、第三者が任意OSコマンドを実行できる

CVE-2025-55671」では、プログラムを実行している権限で任意のコードを実行される恐れがある。

JVNは、問題を修正済みの最新版へ更新することを推奨している。なお、現在の最新版は820日に公開されたv1.0.38となっている。


投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)