B
今週中
Pythonのライブラリであるpython-multipartのバージョン0.0.22未満にパストラバーサル(ディレクトリトラバーサル)の脆弱性
📌 一言でいうと
Pythonのライブラリであるpython-multipartのバージョン0.0.22未満にパストラバーサル(ディレクトリトラバーサル)の脆弱性が発見されました。特定の構成(UPLOAD_KEEP_FILENAME=TrueおよびUPLOAD_DIRの設定)において、攻撃者が悪意のあるファイル名を送信することで、サーバー上の任意の場所にファイルを書き込むことが可能です。これにより、リモートコード実行(RCE)やシステムファイルの破壊につながる恐れがあります。
🏢影響範囲
python-multipartライブラリを使用してファイルアップロード機能を実装しているWebアプリケーションおよびその開発組織。
✅該当時の対応
python-multipartを最新バージョン(0.0.22以降)にアップデートしてください。また、ユーザーが提供するファイル名をそのまま保存せず、サニタイズまたはランダムなファイル名に変更して保存することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】python-multipart CVE-2026-24486 対応について
お疲れさまです。python-multipartの脆弱性に関する情報共有です。
■ 概要
python-multipart 0.0.22未満において、パストラバーサルの脆弱性が確認されました。UPLOAD_KEEP_FILENAME=Trueの設定が有効な場合、攻撃者がファイル名を操作することでサーバー内の任意ディレクトリにファイルを書き込むことが可能です。
■ 影響範囲
- 対象製品: python-multipart
- 対象バージョン: 0.0.22未満
■ 対応手順
1. 利用しているライブラリのバージョンを確認し、0.0.22以降へアップデートしてください。
2. アップロード処理において、ユーザー指定のファイル名をそのまま使用せず、安全なファイル名に変換する実装を検討してください。
■ 参考情報
- CVE-2026-24486
- https://pypi.org/project/python-multipart/
対応優先度: 高
対応期限: 速やかに
お疲れさまです。python-multipartの脆弱性に関する情報共有です。
■ 概要
python-multipart 0.0.22未満において、パストラバーサルの脆弱性が確認されました。UPLOAD_KEEP_FILENAME=Trueの設定が有効な場合、攻撃者がファイル名を操作することでサーバー内の任意ディレクトリにファイルを書き込むことが可能です。
■ 影響範囲
- 対象製品: python-multipart
- 対象バージョン: 0.0.22未満
■ 対応手順
1. 利用しているライブラリのバージョンを確認し、0.0.22以降へアップデートしてください。
2. アップロード処理において、ユーザー指定のファイル名をそのまま使用せず、安全なファイル名に変換する実装を検討してください。
■ 参考情報
- CVE-2026-24486
- https://pypi.org/project/python-multipart/
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] python-multipart CVE-2026-24486 Mitigation
Dear IT/Security Team,
We are sharing information regarding a path traversal vulnerability in the python-multipart library.
■ Overview
Versions of python-multipart prior to 0.0.22 are vulnerable to path traversal. If the application is configured with UPLOAD_KEEP_FILENAME=True and UPLOAD_DIR, an attacker can write arbitrary files to the server by crafting a malicious filename.
■ Scope
- Product: python-multipart
- Affected Versions: < 0.0.22
■ Mitigation Steps
1. Update the python-multipart library to version 0.0.22 or later.
2. Review file upload logic to ensure that user-supplied filenames are sanitized or replaced with generated unique identifiers.
■ Reference
- CVE-2026-24486
- https://pypi.org/project/python-multipart/
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a path traversal vulnerability in the python-multipart library.
■ Overview
Versions of python-multipart prior to 0.0.22 are vulnerable to path traversal. If the application is configured with UPLOAD_KEEP_FILENAME=True and UPLOAD_DIR, an attacker can write arbitrary files to the server by crafting a malicious filename.
■ Scope
- Product: python-multipart
- Affected Versions: < 0.0.22
■ Mitigation Steps
1. Update the python-multipart library to version 0.0.22 or later.
2. Review file upload logic to ensure that user-supplied filenames are sanitized or replaced with generated unique identifiers.
■ Reference
- CVE-2026-24486
- https://pypi.org/project/python-multipart/
Priority: High
Deadline: Immediate