Python Library Pandas の脆弱性 CVE-2024-42992:PoC の登場と NVD の Reject

Critical Flaw Discovered in Popular Python Library Pandas: No Patch Available for CVE-2024-42992

2024/08/25 SecurityOnline — 広く使用されている Python ライブラリ pandas に、深刻なセキュリティ脆弱性が存在することが明らかにされた。この脆弱性 CVE-2024-42992 (CVSS:7.5)の悪用に成功した、攻撃者による不正アクセスの対象となるのは、何百万ものシステムにいたるという。この脆弱性は、pandas のバージョン 2.2.2 以下という、広い範囲に影響を及ぼすため、ユーザーにとって深刻なリスクが生じることになる。


pandas は、5,400 万回以上もダウンロードされている。世界中のデータ・サイエンティスト/アナリスト/開発者にとって、pandas は基礎となるツールであり、リレーショナル・データとラベル付きデータを管理するための、高速で柔軟なデータ構造を提供している。

この脆弱性 CVE-2024-42992 は、任意のファイル読み取りに起因するものであり、その悪用に成功した攻撃者は、ファイル・システム内の任意のファイルに対して、無制限にアクセスできるようになる。この欠陥により、権限のないユーザーであっても、Unix システムの重要なコンポーネントである、”/etc/passwd” の機密ファイルを読み取ることが可能となる。そこには、ユーザー・アカウント情報が保存されているため、特に懸念されている。

この問題は、pandas ライブラリへの入力として提供されるファイル・パスに対して、十分な制限が掛けられていないために発生するという。この見落としにより、脅威アクターによる任意のファイル・パス指定が達成され、機密ファイルの内容が公開される可能性が生じる。replyt.com などの特定のオンライン環境において、この脆弱性は簡単に再現できる。これらの環境においては、すでに PoC エクスプロイト・コードにより、影響が実証されている。

脆弱性 CVE-2024-42992 の PoC エクスプロイトは GitHub で公開されており、この脆弱性を悪用する方法が明示されている。この PoC コードは、”/etc/passwd” ファイルの読み取りを試み、それに成功すると、機密ファイルの内容を画面に出力するものだ。


前述のとおり、pandas は広く採用されているため、この脆弱性の存在は憂慮すべきものとなる。任意のファイルを読み取る機能により、pandas が使用されているシステムの機密性/整合性に深刻な脅威をもたらされる。データ分析に pandas を利用している組織や個人にとって、データ侵害や機密情報への不正アクセスという、深刻なリスクが生じている。

利用可能なパッチが存在しないため、pandas ライブラリのユーザーは悪用に対して脆弱な状態にある。さらに、PoC コードが公開されており、攻撃者によるエクスプロイトの再現が容易になっているため、さらに攻撃の可能性が高まっている。

pandas のユーザーに対して推奨されるのは、直ちに予防措置を講じることである。機密データにアクセス可能な環境において、pandas の使用を制限することで、エクスプロイトのリスクを軽減できる可能性が生じる。さらに、ユーザーにとって必要なことは、システム上での不正アクセスの兆候を注意深く監視し、アクセス制御やファイル監視などの追加のセキュリティ対策を採用し、エクスプロイト防止を検討することである。

開発者とセキュリティのチームは、脆弱性 CVE-2024-42992 の修正について、pandas のメンテナからの最新情報をチェックする必要がある。適切なパッチが適用されるまでの間において、pandas がデプロイされている環境内で、データやファイルを扱うときは注意が必要となる。

広く使用されている pandas に脆弱性が発生しましたが、パッチが未適用の時点で、PoC が提供されるという、とても懸念される状況に陥っているようです。ご利用のチームは、十分に ご注意ください。なお、文中のリンクは、現時点ではつながっていません。おそらく、パッチが提供されるまでの暫定的な措置なのかと思いますが、NVD の方の Reject が気になります。pandas について Wikipedia で調べたところ、「Pandas は、データの操作/分析のために、Python 用に書かれたソフトウェア・ライブラリである。特に、数値表と時系列を操作するための、データの構造と操作を提供する」と紹介されていました。よろしければ、Python で検索も、ご利用ください。