ニュース

Pythonの国産GUIライブラリ「TkEasyGUI」に深刻な脆弱性 ~任意OSコマンド実行の恐れ

最新版へのアップデートを推奨

Pythonの国産GUIライブラリ「TkEasyGUI」に深刻な脆弱性

 脆弱性ポータルサイトJVNは9月5日、国産のPython用GUIライブラリ「TkEasyGUI」に関する脆弱性レポート(JVN#48739895)を公開した。複数の脆弱性が発見されたとして、注意を喚起している。

 脆弱性の内容は、以下の通り(括弧内はCVSS 4.0のスコア)。

  • CVE-2025-55037:OSコマンドインジェクション(9.3)
  • CVE-2025-55671:ファイル検索パスの制御不備(8.5)

 いずれも「TkEasyGUI」v1.0.22より前のバージョンに影響する。「CVE-2025-55037」は外部からメッセージを構築する設定にしている場合に、第三者が任意OSコマンドを実行できるというもの。「CVE-2025-55671」では、プログラムを実行している権限で任意のコードを実行される恐れがある。

 JVNは、問題を修正済みの最新版へ更新することを推奨している。なお、現在の最新版は8月20日に公開されたv1.0.38となっている。