「Python」v3.12/3.11/3.10/3.9に最大深刻度がHIGHの脆弱性 ～修正版が公開

「Python」v3.12 / 3.11 / 3.10 / 3.9にセキュリティアップデート

　スクリプト言語「Python」v3.12 / 3.11 / 3.10 / 3.9のセキュリティアップデートが、10月9日に実施された。修正版のv3.12.12 / 3.11.14 / 3.10.19 / 3.9.24がリリースされている。

　すべてのバージョンに共通で修正された「CVE-2025-59375」は、同梱されたlibexpatライブラリに存在する脆弱性で、解析のために送信される小さなドキュメントを介し、大規模な動的メモリ割り当てをトリガーできる恐れがあった。CVSS v3.1のスコアは7.5（HIGH）と評価されている。

　また、v3.11.14 / 3.10.19 / 3.9.24ではパッケージ管理ツール「setuptools」に存在する、パストラバーサルの脆弱性「CVE-2025-47273」と、コードインジェクションの脆弱性「CVE-2024-6345」が修正された。CVSS v3.1スコア7.7（HIGH）の「CVE-2025-47273」は、Pythonコードを実行するプロセスの権限を利用して任意の場所にファイルを書き込まれる恐れがある。一方、CVSS v3.1スコア8.8（HIGH）「CVE-2024-6345」は、ダウンロード関数を介してリモートからコード実行される可能性がある。

　さらにv3.9.24では、SSLContext.set_npn_protocols()メソッドに対し、NPN（Next Protocol Negotiation）が使用された場合にバッファオーバーリードが発生する脆弱性「CVE-2024-5642」が修正された。CVSS v3.1のスコアは6.5（MEDIUM）。

　これらのバージョンを使用している場合は、なるべく早いアップデートをお勧めする。

　「Python」は1991年、オランダ出身のプログラマーGuido van Rossum氏によって考案されたクロスプラットフォーム対応のインタープリター型プログラミング言語。コードブロックを字下げ（インデント）で表現する文法が特徴で、可読性が高いコードをコンパクトに記述できる。さまざまな用途に利用できる汎用言語だが、近年は機械学習の分野で著しい普及を見せている。

　なお、v3.12以前のライフサイクルはすでに『セキュリティ修正のみ』の段階にあるため、バイナリは提供されない。ソースコードのみでの提供となっている。

［お詫びと訂正］ 記事初出時、バイナリが提供されているとの記述がありましたが、ソースコードのみの提供でした。お詫びして訂正します。