CVE-2025-47273

この脆弱性を悪用されると、攻撃者はPythonコードを実行する権限でシステム上の任意の場所にファイルを書き込むことが可能になります。これにより、システムの設定ファイルを改ざんしたり、悪意のあるコードを実行したりするなど、深刻な被害が発生する可能性があります。特に、setuptoolsを使用してパッケージをインストールする際に、攻撃者が悪意のあるパッケージを仕込むことで、システム全体が制御下に置かれるリスクがあります。この脆弱性は、Log4Shellのような広範囲な影響を及ぼす可能性も秘めています。

Development environments utilizing Python and setuptools are at risk. Continuous integration/continuous deployment (CI/CD) pipelines that automatically install Python packages are particularly vulnerable, as they could be exploited to inject malicious code into deployed applications. Organizations using custom Python scripts or tools that rely on setuptools for package management should also prioritize remediation.

• python / package-manager:

Get-Package -Name setuptools | Select-Object Version

• python / package-manager:

python -m pip show setuptools

• generic web: Check for unusual files or directories created during package installation or upgrade processes. Monitor system logs for suspicious file access attempts. • generic web: Review Python scripts for calls to setuptools functions that handle file paths, looking for potential path traversal vulnerabilities.

1. 2025-05-17Disclosure

   disclosure

1. 予約済み2025-05-05
2. 公開日2025-05-17
3. 更新日2025-06-13
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずsetuptoolsをバージョン78.1.1以上にアップグレードすることを推奨します。アップグレードが困難な場合は、一時的な回避策として、Pythonコードを実行する際に、信頼できるディレクトリのみにファイルが書き込まれるように制限するなどの対策を講じることが考えられます。また、WAFやプロキシサーバーを使用して、悪意のあるファイル書き込みリクエストをブロックすることも有効です。脆弱性スキャンツールを使用して、システム全体を定期的にスキャンし、潜在的なリスクを早期に発見することも重要です。アップグレード後、python -m setuptools --versionコマンドでバージョンを確認し、修正が適用されていることを確認してください。