公開日:2026/02/19 最終更新日:2026/02/19

JVNVU#96117306
PyMuPDF におけるパストラバーサルの脆弱性

概要

PyMuPDFにはパストラバーサルの脆弱性が存在します。

影響を受けるシステム

PyMuPDF バージョン 1.26.5

詳細情報

PyMuPDFは、PDFなどのドキュメントを処理するレンダリングエンジンであるMuPDFをPythonから利用するためのライブラリです。PyMuPDFはファイル出力先を引数で指定できますが、その引数が渡されない場合、PDFのメタデータに含まれるファイル名を出力パスとして使用します。そのため、細工されたファイル名をPDFのメタデータに埋め込むことで、任意のパスにファイルを書き込ませることが可能です。

想定される影響

プログラムの実行権限内で書き込み可能な任意のパスに、ファイルを書き込まれる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。本脆弱性はバージョン 1.26.7で修正されています。

ベンダ情報

ベンダ リンク
PyMuPDF pymupdf/PyMuPDF: PyMuPDF is a high performance Python library for data extraction, analysis, conversion & manipulation of PDF (and other) documents.
Make `pymupdf embed-extract` safe by default. · pymupdf/PyMuPDF@603cafe

参考情報

  1. CERT/CC Vulnerability Note VU#504749
    PyMuPDF path traversal and arbitrary file write vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia