概要
Python 自然 言語 処理 ライブラリ NLTK の ダウンローダー に おける パストラバーサル の 脆弱性 です。データ パッケージ の ダウンロード 処理 時 に ファイル パス の 検証 が 不十分 な ため、攻撃者 が 細工 した パッケージ を 通じて 任意 の ファイル を 作成 または 上書き できて しまう 問題 が 存在 します。
CWE-22(Improper Limitation of a Pathname to a Restricted Directory)に 分類 される この 問題 に より、攻撃者 は NLTK の データ ダウンロード 機能 を 悪用 して、システム 上 の 任意 の 場所 に ファイル を 配置 する こと が 可能 です。設定 ファイル の 改変 や 悪意 の ある コード の 配置 に つながる おそれ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 (High) |
| CWE | CWE-22(パストラバーサル) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 必要 |
影響を受けるソフトウェア
- NLTK(3.9.3 以前)
修正バージョンと回避策
- 修正バージョン: commit 89fe2ec2c6 で 修正 済み。最新 バージョン へ アップデート してください
- 暫定回避策: 信頼 できない NLTK データ パッケージ の ダウンロード を 避ける。データ ダウンロード 先 ディレクトリ の 書き込み 権限 を 制限 する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。