Python Pillowに複数の脆弱性(CVE-2026-54059 ほか4件)、修正版12.3.0が公開

Python Pillowに5件の脆弱性が公表、修正版12.3.0への更新で対応可能に

公開: 更新:
CodeCampが提供するDX人材育成が可能なプログラミングやITが学べる公開講座

画像処理ライブラリのPython Pillowに、5件の脆弱性(CVE)が公表されました。影響範囲と修正版、CVEの一覧をまとめて確認できるように整理します。



Python Pillowの複数脆弱性 3行まとめ

今回公表された脆弱性の要点を、先に3点へまとめました。

  • Python Pillowに5件の脆弱性が公表
  • 修正版12.3.0が公開済み
  • 対象バージョンの利用者はCVE一覧の確認と修正版への更新を推奨

本記事の確認・更新手順は一般的な例です。実際の対応は、利用している構成や依存関係、権限設定、運用ルールによって異なります。

作業の前に必ずバックアップを取得し、検証環境で影響を確認したうえで、各自の責任で実施してください。

影響を受けるPython Pillowのバージョンと修正版

今回の脆弱性群が影響するバージョンと、修正版は次の通りです。

項目 内容
影響バージョン 12.3.0より前のバージョン(詳細は各アドバイザリを参照)
修正版 12.3.0

修正版の12.3.0は影響範囲に含まれません。5件はいずれも12.3.0で解消されるため、個別ではなく修正版への更新でまとめて対処できます。

Python Pillowで公表された脆弱性一覧(CVE 5件)

はじめに用語を簡単に整理します。CVEは脆弱性の識別番号、CWEは弱点の分類、CVSSは深刻度の評価指標です。


Python研修一覧はこちら

目的に合うPython研修を一覧形式から探したい方は、ぜひご利用ください。

Python研修を比較する

Java研修一覧はこちら

目的に合うJava研修を一覧形式から探したい方は、ぜひご利用ください。

Java研修を比較する

PHP研修一覧はこちら

目的に合うPHP研修を一覧形式から探したい方は、ぜひご利用ください。

PHP研修を比較する

新入社員研修

目的に合う新入社員研修を一覧形式から探したい方は、ぜひご利用ください。

新入社員研修を比較する

全ての研修からも探したい方はこちら

今回まとめて公表された5件のCVEを一覧にまとめました。CVSSの値は評価主体により異なる場合があります。

CVE番号 深刻度(CVSS) 種類 概要
CVE-2026-54059 JVNDB=7.5(High)/ベンダ公式=7.5(High) CWE-789 過剰なサイズ値のメモリ割り当て
CVE-2026-54060 JVNDB=7.5(High)/ベンダ公式=7.5(High) CWE-789 過剰なサイズ値のメモリ割り当て
CVE-2026-55379 JVNDB=7.5(High)/ベンダ公式=7.5(High) CWE-789 過剰なサイズ値のメモリ割り当て
CVE-2026-55380 JVNDB=7.5(High)/ベンダ公式=7.5(High) CWE-789 過剰なサイズ値のメモリ割り当て
CVE-2026-55798 JVNDB=4.5(Medium)/ベンダ公式=4.5(Medium) CWE-78 OS コマンドインジェクション

Python Pillowの2種類の脆弱性が起きる仕組み

5件の脆弱性は、大きく2種類の問題に分かれます。ここでは種類ごとに仕組みを整理しました。


Python基礎・実践(Django)

企業・法人向けのPython研修では、基礎から応用まで体系的に学べます。

Python研修の詳細

DX社員研修

企業・法人向けのDX研修では、実務に繋がるリスキリングでITレベルを向上させます。

DX研修の詳細

Javaエンジニア育成研修

企業・法人向けのJavaエンジニア育成研修では、Javaの基礎から応用まで確実に習得できます。

Java研修の詳細

新卒・新入社員向け研修

企業・法人に新入社員・新卒社員に向けたプログラミング研修を提供しています。

新入社員研修の詳細

コードキャンプのIT研修を全て見る

過剰なサイズ値によるメモリ割り当て(CWE-789)

4件はCWE-789に該当します。CWE-789は、入力値の検証が足りないまま過大なメモリを確保してしまう弱点を指す分類です。

CWE-789に分類される問題は一般に、想定を超えるメモリ確保を招き、サービス停止などのリスクにつながります。今回の4件の深刻度は、JVNDBとベンダ公式のいずれも7.5と評価されました。

OSコマンドインジェクション(CWE-78)

残る1件はCWE-78に分類されます。CWE-78は、外部からの入力が組み立て後のOSコマンドに渡り、意図しない命令が実行される弱点です。

この脆弱性の深刻度は、JVNDBとベンダ公式ともに4.5と評価されています。悪用の前提条件は各アドバイザリで確認してください。

Python Pillowを修正版へ更新する対応手順

対象バージョンを利用している場合の対応を、優先度の高い順にまとめました。

  1. 上記の一覧で、利用中のPython Pillowが影響範囲に含まれるかを確認する。pip show Pillow を実行するとインストール済みのバージョンが表示されるので、影響を受けるバージョンの表(12.3.0より前)と照合します。このコマンドは表示のみで、変更は加えません
  2. 影響を受けるコンポーネントや機能を実際に使用しているかを確認する。自分のコードでPillow(PIL)を利用している箇所を検索し、本記事「Python Pillowの2種類の脆弱性が起きる仕組み」の節と各公式アドバイザリ(References)で対象機能を照合します
  3. 公式アドバイザリに従って修正版(12.3.0)へ更新する
  4. 直ちに更新できない場合は、公式に回避策があれば適用する

複数のCVEがまとめて修正されているため、個別ではなく修正版への更新でまとめて対応できます。

trends編集部の一言

同一製品で5件のCVEが同時に公表される場合、多くは修正版へまとめて対応できます。まずは依存関係に含まれるか、影響コンポーネントを使っているかの確認から始めると、対応の優先度を判断しやすくなるはずです。

References

  1. ^ JVNDB. 「Python Software FoundationのPython Pillowにおける過剰なサイズ値のメモリ割り当てに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022838.html, (参照 26-07-10).
  2. ^ JVNDB. 「Python Software FoundationのPython Pillowにおける過剰なサイズ値のメモリ割り当てに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022837.html, (参照 26-07-10).
  3. ^ JVNDB. 「Python Software FoundationのPython Pillowにおける過剰なサイズ値のメモリ割り当てに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022826.html, (参照 26-07-10).
  4. ^ JVNDB. 「Python Software FoundationのPython Pillowにおける過剰なサイズ値のメモリ割り当てに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022825.html, (参照 26-07-10).
  5. ^ JVNDB. 「Python Software FoundationのPython PillowにおけるOS コマンドインジェクションの脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022821.html, (参照 26-07-10).
  6. ^ ベンダ公式. 「Python Pillow セキュリティ情報」. https://github.com/python-pillow/Pillow/security/advisories/GHSA-8v84-f9pq-wr9x, (参照 26-07-10).
  7. ^ ベンダ公式. 「Python Pillow セキュリティ情報」. https://github.com/python-pillow/Pillow/security/advisories/GHSA-5x94-69rx-g8h2, (参照 26-07-10).
  8. ^ ベンダ公式. 「Python Pillow セキュリティ情報」. https://github.com/python-pillow/Pillow/security/advisories/GHSA-45hq-cxwh-f6vc, (参照 26-07-10).

※本記事は一次情報(JVNDB・ベンダ公式)を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合はコメントよりご報告ください。

※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。

ITやプログラミングに関するコラム


ITやプログラミングに関するニュース

ブログに戻る

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。

企業・法人向けのIT・プログラミング・生成AI研修を探す、比較する - IT・プログラミングを知って学べるコネクトメディア CodeCampが提供するDX人材育成が可能なプログラミングやITが学べる公開講座 - IT・プログラミングを知って学べるコネクトメディア コードキャンプが提供する無料で学べるプログラミングスクール講座 - IT・プログラミングを知って学べるコネクトメディア コードキャンプDX人材育成研修 - IT・プログラミングを知って学べるコネクトメディア 3.5日の研修で、年間1,600時間の削減効果が見込まれる。東京きらぼしフィナンシャルグループのDX人材育成事例 - IT・プログラミングを知って学べるコネクトメディア 配属3ヶ月で30%の生産性向上を実現するいよぎんコンピュータサービスの新人研修に迫る - IT・プログラミングを知って学べるコネクトメディア 金融業界の業務効率化を加速するニッセイアセットマネジメントの生成AI×GAS活用研修事例 - IT・プログラミングを知って学べるコネクトメディア 【製造業のDX人材育成事例】デジタル人材の即戦力化を実現する、日本ガイシ株式会社の異動者向オンボーディング研修 - ITやプログラミングを知って学べるコネクトメディア フューチャーアーキテクト株式会社が実現した新入社員向けIT研修プログラムでタスクフォース制度が主体的な学びと成長を生み出す - IT・プログラミングを知って学べるコネクトメディア コードキャンプDX人材育成研修 - IT・プログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/【IT新入社員研修】オンラインとオフラインの最適バランスを実現したFutureOneの導入事例 - IT・プログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/【新入社員研修】柔軟なハイブリッド型Java研修で実現した新卒20名の成長と成果|サークレイス株式会社 - ITやプログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/現場により近いところにデジタルを根付かせるDX基礎講座研修|株式会社ブリヂストン - ITやプログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/業務の効率化・DX推進に向けたIT人材育成への第一歩|株式会社カナエ - ITやプログラミングを知って学べるコネクトメディア 企業・法人向けのIT・プログラミング研修 - ITやプログラミングを知って学べるコネクトメディア

新着記事

対象者別で探す

子供(小学生・中学生・高校生)向け
プログラミング教室検索する

子供(小学生・中学生・高校生)がロボットやプログラミング言語を学ぶことができるオフラインからオンラインスクールを検索、比較することが可能です。

子供(小学生・中学生・高校生)
プログラミング教室検索する

ITやプログラムなどの
最新情報を検索する

日々、新しいITやプログラミング言語の情報が流れていきますが、特定の情報を時系列でニュースやコラムを確認することができます。

ITやプログラムなどの
最新情報を検索する