ニュース
Pythonの国産GUIライブラリ「TkEasyGUI」に深刻な脆弱性 ~任意OSコマンド実行の恐れ
最新版へのアップデートを推奨
2025年9月5日 13:12
脆弱性ポータルサイトJVNは9月5日、国産のPython用GUIライブラリ「TkEasyGUI」に関する脆弱性レポート(JVN#48739895)を公開した。複数の脆弱性が発見されたとして、注意を喚起している。
脆弱性の内容は、以下の通り(括弧内はCVSS 4.0のスコア)。
- CVE-2025-55037:OSコマンドインジェクション(9.3)
- CVE-2025-55671:ファイル検索パスの制御不備(8.5)
いずれも「TkEasyGUI」v1.0.22より前のバージョンに影響する。「CVE-2025-55037」は外部からメッセージを構築する設定にしている場合に、第三者が任意OSコマンドを実行できるというもの。「CVE-2025-55671」では、プログラムを実行している権限で任意のコードを実行される恐れがある。
JVNは、問題を修正済みの最新版へ更新することを推奨している。なお、現在の最新版は8月20日に公開されたv1.0.38となっている。