HIGHCVE-2026-32274CVSS 7.5

Black: キャッシュファイル名における未サニタイズされたユーザー入力からの任意のファイル書き込み

Q: CVE-2026-32274 — 任意ファイルアクセス in Blackとは何ですか？

CVE-2026-32274は、Blackのバージョン26.3.0以下に存在する任意ファイルアクセス脆弱性です。`--python-cell-magics`オプションのサニタイズ不足により、攻撃者は任意のファイルシステム場所にキャッシュファイルを書き込めます。

Q: CVE-2026-32274 in Blackに影響を受けますか？

Blackのバージョンが26.3.0以下である場合、この脆弱性に影響を受ける可能性があります。`--python-cell-magics`オプションに信頼できないユーザー入力を許可している場合は、特に注意が必要です。

Q: CVE-2026-32274 in Blackを修正するにはどうすればよいですか？

Black 26.3.1へのアップグレードが推奨されます。アップグレードが困難な場合は、`--python-cell-magics`オプションに信頼できないユーザー入力を許可しないように設定してください。

Q: CVE-2026-32274に関するBlackの公式アドバイザリはどこで入手できますか？

Blackのセキュリティチームによって公開されているアドバイザリを参照してください。詳細はBlackの公式ウェブサイトをご確認ください。

プラットフォーム

python

コンポーネント

black

修正版

26.3.2

26.3.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32274は、Blackにおいて発見された任意ファイルアクセス脆弱性です。この脆弱性は、攻撃者が--python-cell-magicsオプションを介して任意のファイルシステム場所にファイルを書き込めることを意味します。影響を受けるバージョンはBlack 26.3.0以下です。Black 26.3.1で修正されており、ユーザーは最新バージョンへのアップグレードを推奨します。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はBlackがキャッシュファイルを書き込む際に、ファイル名を制御することで、任意の場所にファイルを書き込むことが可能になります。これにより、機密情報の窃取、システムの改ざん、さらにはリモートコード実行につながる可能性があります。攻撃者は、Blackの設定ファイルやログファイルなどを上書きすることで、システムの正常な動作を妨害することも考えられます。この脆弱性は、Blackをコマンドラインから実行する際に、ユーザーが制御できるオプションを適切にサニタイズしていないことが原因で発生しています。

悪用の状況

この脆弱性は、2026年3月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。この脆弱性は、Blackのセキュリティチームによって積極的に対応されており、早期の修正と対策が推奨されます。

リスク対象者翻訳中…

Developers and DevOps teams using Black in automated pipelines or CI/CD systems are particularly at risk. Environments where Black is integrated with third-party tools or services that provide untrusted input to the --python-cell-magics option are also vulnerable. Shared hosting environments where multiple users have access to the Black command-line interface should be carefully reviewed.

検出手順翻訳中…

• python / code formatting:

Get-Process -Name Black | Select-Object -ExpandProperty Path

• python / code formatting: Check for unusual cache files in unexpected locations (e.g., /etc/passwd.black_cache). • python / code formatting: Monitor command-line arguments passed to Black for suspicious paths or characters in the --python-cell-magics option. • python / code formatting: Review Black configuration files for any hardcoded or default values for --python-cell-magics that could be exploited.

攻撃タイムライン

2026-03-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントblack

ベンダーosv

影響範囲修正版

< 26.3.1 – < 26.3.126.3.2

—26.3.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-11
公開日2026-03-12
更新日2026-03-16
EPSS 更新日2026-03-23

公開後0日でパッチ適用

緩和策と回避策

Black 26.3.1へのアップグレードが推奨される最も効果的な対策です。アップグレードが困難な場合は、--python-cell-magicsオプションに信頼できないユーザー入力を許可しないように設定してください。WAFやプロキシサーバーを使用して、悪意のあるファイル書き込みリクエストをブロックすることも有効です。また、Blackのログファイルを監視し、異常なファイルアクセスイベントを検出するためのルールを実装することも重要です。アップグレード後、ファイルシステムの整合性を確認し、不正なファイルが書き込まれていないことを確認してください。

修正方法翻訳中…

Actualice Black a la versión 26.3.1 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos debido a la falta de sanitización en la opción --python-cell-magics.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32274 — 任意ファイルアクセス in Blackとは何ですか？

CVE-2026-32274は、Blackのバージョン26.3.0以下に存在する任意ファイルアクセス脆弱性です。--python-cell-magicsオプションのサニタイズ不足により、攻撃者は任意のファイルシステム場所にキャッシュファイルを書き込めます。

CVE-2026-32274 in Blackに影響を受けますか？

Blackのバージョンが26.3.0以下である場合、この脆弱性に影響を受ける可能性があります。--python-cell-magicsオプションに信頼できないユーザー入力を許可している場合は、特に注意が必要です。

CVE-2026-32274 in Blackを修正するにはどうすればよいですか？

Black 26.3.1へのアップグレードが推奨されます。アップグレードが困難な場合は、--python-cell-magicsオプションに信頼できないユーザー入力を許可しないように設定してください。

CVE-2026-32274は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。

CVE-2026-32274に関するBlackの公式アドバイザリはどこで入手できますか？