
2024年8月23日Pythonの人気ライブラリ「Pandas」で脆弱性(CVE-2024-42992)が発生しており、パッチが未提供の為「Pandas」の使用を制限し、アクセス制御やファイル監視などの対応をお勧めします。
2024年8月26日 追加調査の結果、セキュリティ上の問題ではないことが判明し脆弱性のリストから消去されました。
関連記事
Pythonの人気ライブラリ「Pandas」の脆弱性(CVE-2024-42992)はセキュリティ上問題ない
Pythonのライブラリ「pandas」の脆弱性(CVE-2024-42992)とは
Python Pip Pandas v2.2.2 に任意のファイル読み取りの脆弱性が含まれていることが発見されました。
「pandas」には任意のファイル読み取りの脆弱性が存在し、攻撃者はこの脆弱性を利用して、ファイルシステム内の任意のファイルを無制限に読み取ることができます。
この脆弱性により、例えば「/etc/passwd」のような機密ファイルへ不正アクセスが可能になります。
実際に脆弱性を悪用したエクスプロイトコードの例もGitHubへ公開されていましたが
2024年8月26日頃追加調査でセキュリティ上問題ない事が分かり、脆弱性リストから取り下げられました。
現状パッチが提供されていない
pypistatsで検索すると過去1週間で5,800万回以上インストールされていますが現在パッチはリリースされていません。しかし、エクスプロイトコードが公開されている為、サイバー攻撃への悪用が懸念されます。
その為、
・機密ファイルをアクセスするpandasへのアクセス制限や利用停止
・ファイルのアクセス制御やファイル監視
などをお勧めします。
Pythonのライブラリ「Pandas」とは
Pandasはデータ解析や演算を高速で処理できるライブラリで、初心者から企業での利用まで世界中で幅広く利用されており
前述の通りpypistatsで検索すると過去1週間で5,800万回以上インストールされています。
参照
Critical Flaw Discovered in Popular Python Library Pandas: No Patch Available for CVE-2024-42992
関連記事