JVNDB-2026-001523

trailofbitsのFicklingにおける複数の脆弱性

FicklingはPythonのピクルデコンパイラおよび静的解析ツールです。バージョン0.1.7以前では、Ficklingの静的解析ツールにあるunsafe_imports()メソッドが、任意のコード実行に使用される可能性がある複数の高リスクなPythonモジュールを検出できませんでした。これらのモジュールをインポートする悪意のあるピクルは安全でないと判定されず、攻撃者はFicklingの主要な静的安全チェックを回避できました。この問題はバージョン0.1.7で修正されました。

trailofbits

• Fickling 0.1.7 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Static Analysis Bypass via Incomplete Dangerous Module Blocklist  Advisory  trailofbits/fickling  GitHub

1. 不完全なブラックリスト(CWE-184) [その他]
2. 信頼できないデータのデシリアライゼーション(CWE-502) [その他]

1. CVE-2026-22609

1. National Vulnerability Database (NVD) : CVE-2026-22609
2. 関連文書 : Add runpy to unsafe modules  trailofbits/fickling@9a2b3f8  GitHub
3. 関連文書 : Release v0.1.7  trailofbits/fickling  GitHub
4. 関連文書 : Add pydoc and ctypes to unsafe imports  trailofbits/fickling@b793563  GitHub
5. 関連文書 : Check the root module name during unsafe import detection  trailofbits/fickling@eb299b4  GitHub
6. 関連文書 : Add importlib, code and multiprocessing to unsafe modules  trailofbits/fickling@29d5545  GitHub

• [2026年01月19日]
    掲載