つみかさね

CVE-2026-7246

High(7.2)

CVE-2026-7246 — Pallets Click コマンドインジェクション

公開日: 2026-05-02データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
ClickPallets project<= 8.3.2

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1プロジェクトの依存関係でClickのバージョンを確認する
  2. 2最新バージョンへアップデートする
  3. 3click.edit()の使用箇所を確認する

影響対象

Python Clickライブラリ利用者

補足

  • -Flask等のフレームワーク経由で間接的に利用している場合も確認してください
CVEPythonClickコマンドインジェクション

概要

PythonのCLIライブラリ「Click」(Pallets project)のバージョン8.3.2以下において、click.edit()関数にコマンドインジェクションの脆弱性が存在します。攻撃者が権限のないアカウントから任意のOSコマンドを実行できる可能性があります。

Clickは Flask などの人気フレームワークでも広く利用されており、依存関係として含むPythonプロジェクトは影響を受ける可能性があります。

CVSSベクトル

項目
CVSSスコア7.2(High)
CWECWE-77(コマンドインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル
ユーザー関与不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
ClickPallets project8.3.2以下

修正バージョンと回避策

  • Clickを最新バージョンへアップデートしてください
  • click.edit()を使用しているコードでユーザー入力のサニタイズを確認してください

関連リンク

データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-7246
JVN:https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-013928.html
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。