プラットフォーム
python
コンポーネント
pytries
修正版
0.8.1
0.8.2
0.8.3
0.8.4
CVE-2026-5659 は、pytries datrie ライブラリの 0.8.0 から 0.8.3 のバージョンに存在する不安全なデシリアライゼーションの脆弱性です。この脆弱性は、攻撃者が悪意のあるデータをデシリアライズさせ、システムに影響を与える可能性があります。リモートからの攻撃が可能であり、悪用事例が公開されているため、早急な対応が必要です。現時点では公式なパッチは提供されていません。
pytries datrieライブラリのバージョン0.8.3までで、デシリアライゼーションの脆弱性が特定されました。具体的には、ファイルsrc/datrie.pyx内の関数Trie.load、Trie.read、およびTrie.setstateが脆弱です。悪意のあるリモート攻撃者は、この脆弱性を悪用してシステム上で任意のコードを実行し、データの機密性、完全性、可用性を損なう可能性があります。公開されているエクスプロイトの存在はリスクを大幅に高めます。プロジェクトからの対応がないことは状況を悪化させ、ユーザーに短期的な公式な修正を提供しません。この脆弱性には、潜在的な攻撃を防ぐために、直ちに対応が必要です。
この脆弱性は、関数Trie.load、Trie.read、およびTrie.setstateで使用されるデータの操作を通じて悪用されます。公開されているエクスプロイトにより、攻撃プロセスが簡素化され、攻撃者はTrieデータ構造の読み込みまたは読み取り中に悪意のあるコードを挿入できます。この脆弱性のリモート性により、攻撃者は影響を受けるシステムへの物理的なアクセスを必要とせず、攻撃の潜在的な範囲を拡大します。エクスプロイトの公開により、自動化されたターゲット攻撃の可能性が高まります。
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
pytriesプロジェクトから公式な修正が提供されていないため、直近の軽減策は、datrieのバージョン0.8.3より前の使用を避けることです。ライブラリの使用が不可欠な場合は、入力データの厳格な検証やサンドボックス環境での実行など、追加のセキュリティコントロールを実装することをお勧めします。システムの悪用兆候を積極的に監視することが重要です。脆弱性が許容できないリスクをもたらす場合は、datrieライブラリの代替手段を検討してください。プロジェクトが将来リリースする可能性のある更新またはパッチに関する情報を常に把握しておくことが重要ですが、現在の対応の欠如は懸念されます。
Actualice a una versión corregida de pytries. La vulnerabilidad se encuentra en las versiones 0.8.0 a 0.8.3 y se debe actualizar a una versión posterior que corrija el problema de deserialización en la función Trie.__setstate__.
脆弱性分析と重要アラートをメールでお届けします。
デシリアライゼーションは、シリアル化されたデータ(ファイルや文字列など)を、使用可能なオブジェクトに変換するプロセスです。デシリアライゼーションの脆弱性は、悪意のあるシリアル化されたデータを使用して任意のコードを実行できる場合に発生します。
CVEは「Common Vulnerabilities and Exposures」の略です。これは、この特定の脆弱性の一意の識別子です。
バージョン0.8.3より前の使用を直ちに停止してください。一時的な軽減策を実装し、システムを監視してください。
現在、公式なパッチは利用できません。pytriesプロジェクトからの最新情報を入手してください。
KEVは「Known Exploitable Vulnerabilities」の略です。KEVとしてマークされていないという事実は、公開されているエクスプロイトがある場合、脆弱性の深刻さを軽減するものではありません。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。