ニュース
「Python」v3.12以降に“CRITICAL”の脆弱性 ~他のバージョンにもセキュリティ修正
パストラバーサルの脆弱性により任意のファイルシステム書き込みの恐れ
2025年6月4日 15:42
スクリプト言語「Python」のセキュリティアップデートが、6月3日に実施された。
修正された脆弱性の内、CVE番号が割り当てられているのは以下の4件(括弧内はCVSS 3.1ベースの深刻度)。いずれもv3.12以降に影響する。
- CVE-2024-12718(MEDIUM)
- CVE-2025-4138(HIGH)
- CVE-2025-4330(HIGH)
- CVE-2025-4517(CRITICAL)
いずれも、tarfileモジュールのextractallまたはextractメソッドに存在するパストラバーサルの問題で、filterパラメーターに「data」もしくは「tar」を指定した場合に発生する。深刻度が“CRITICAL”のCVE 2025-4517では、任意のファイルシステム書き込みが発生する恐れがある。
このほか、CVE番号が割り当てられていない脆弱性も修正されており、現在、以下のバージョンが利用可能。
- 3.13.4
- 3.12.11
- 3.11.13
- 3.10.18
- 3.9.23
Amazonで購入
