つみかさね

CVE-2021-47952

Critical(9.8)

CVE-2021-47952 — python-jsonpickle リモートコード実行(py/repr逆シリアル化)

公開日: 2026-05-27データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
jsonpicklejsonpickle team2.0.0(修正バージョン要確認)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1jsonpickleのバージョンを確認する(pip show jsonpickle)
  2. 2信頼できないソースからのデータをjsonpickleでデシリアライズしているか確認する
  3. 3最新バージョンへアップグレードする(pip install --upgrade jsonpickle)
  4. 4信頼できないデータをjsonpickleで処理しないようアーキテクチャを見直す

影響対象

jsonpickleを使用してデータをデシリアライズしているPythonアプリケーション

補足

  • -デシリアライズ脆弱性の本質的な対策は、信頼できないデータを処理しないことです
CVEPythonjsonpickleリモートコード実行逆シリアル化PyPI

概要

PythonオブジェクトのJSONシリアライズ・デシリアライズライブラリであるjsonpickle(バージョン2.0.0)において、py/reprオブジェクトを含む悪意あるJSONペイロードをデシリアライズすることで任意のPythonコマンドが実行される脆弱性が確認されました(CVE-2021-47952)。

py/reprディレクティブを含むJSONを作成することで、デシリアライズ時にeval関数が呼び出され、攻撃者が制御するコードが実行されます。信頼できないソースからのJSONデータをjsonpickleで処理している場合、深刻なリスクとなります。

なお、CVE IDは2021年に採番されていますが、2026年5月26日にNVDでの評価・更新が行われました。

CVSSベクトル

項目
CVSSスコア9.8(Critical)
CWECWE-94(コードインジェクション)
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)不要
ユーザー関与(UI)不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン
jsonpicklejsonpickle team2.0.0(修正バージョンを要確認)

修正バージョンと回避策

  • 修正: 最新バージョンへのアップグレードを推奨(pip install --upgrade jsonpickle
  • 根本的対策: 信頼できないデータをjsonpickleでデシリアライズしないアーキテクチャへの見直し
  • デシリアライズが必要な場合は、jsonpickle.decode(data, safe=True)の利用や入力の厳格なバリデーションを検討してください

関連リンク

データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2021-47952
GitHub:https://github.com/jsonpickle/jsonpickle
Exploit-DB:https://www.exploit-db.com/exploits/49585
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。