Unstructured には、悪意のある MSG 添付ファイル経由の Path Traversal が存在し、任意のファイル書き込みを許可する

この脆弱性は、攻撃者がMSGファイルに添付ファイル名を../../../etc/cron.d/maliciousのようなパス・トラバーサルシーケンスを含むように細工することで悪用されます。process_attachments=Trueオプションが有効な状態でライブラリがこのファイルを処理すると、添付ファイルが攻撃者が制御する場所に書き込まれます。これにより、設定ファイルやcronジョブの書き換えなど、様々な攻撃が可能になります。最終的には、リモートコード実行につながる可能性があります。この脆弱性は、ファイルシステムの整合性を損ない、システム全体のセキュリティを脅かす重大なリスクとなります。

Organizations and developers using the unstructured Python library to process email attachments, particularly those handling untrusted email sources, are at significant risk. Systems with older versions of the library (≤0.9.3) and those lacking robust input validation are especially vulnerable. Shared hosting environments where multiple applications share the same filesystem are also at increased risk.

• python / server:

import os
import hashlib

def check_attachment_filename(filename):
    # Check for path traversal sequences
    if "../" in filename:
        print(f"Potential path traversal detected in filename: {filename}")
        return True
    return False

# Example usage
filename = "../../../etc/cron.d/malicious.txt"
if check_attachment_filename(filename):
    print("Malicious filename detected!")

1. 2026-02-03Disclosure

   disclosure

1. 予約済み2025-11-10
2. 公開日2026-02-03
3. 更新日2026-02-10
4. EPSS 更新日2026-03-23

まず、unstructuredライブラリをバージョン0.18.18以上にアップデートすることを強く推奨します。アップデートが困難な場合は、processattachments=Falseを設定することで、添付ファイルの処理を無効化し、脆弱性の悪用を防ぐことができます。また、WAFやプロキシサーバーの設定で、悪意のあるファイル名（パス・トラバーサルシーケンスを含む）を持つMSGファイルのアップロードをブロックするルールを実装することも有効です。アップデート後、processattachments=Falseが設定されているか、バージョンが0.18.18以上であることを確認してください。