画像処理ライブラリのPython Pillowに、5件の脆弱性(CVE)が公表されました。影響範囲と修正版、CVEの一覧をまとめて確認できるように整理します。
Python Pillowの複数脆弱性 3行まとめ
今回公表された脆弱性の要点を、先に3点へまとめました。
- Python Pillowに5件の脆弱性が公表
- 修正版12.3.0が公開済み
- 対象バージョンの利用者はCVE一覧の確認と修正版への更新を推奨
本記事の確認・更新手順は一般的な例です。実際の対応は、利用している構成や依存関係、権限設定、運用ルールによって異なります。
作業の前に必ずバックアップを取得し、検証環境で影響を確認したうえで、各自の責任で実施してください。
影響を受けるPython Pillowのバージョンと修正版
今回の脆弱性群が影響するバージョンと、修正版は次の通りです。
| 項目 | 内容 |
|---|---|
| 影響バージョン | 12.3.0より前のバージョン(詳細は各アドバイザリを参照) |
| 修正版 | 12.3.0 |
修正版の12.3.0は影響範囲に含まれません。5件はいずれも12.3.0で解消されるため、個別ではなく修正版への更新でまとめて対処できます。
Python Pillowで公表された脆弱性一覧(CVE 5件)
はじめに用語を簡単に整理します。CVEは脆弱性の識別番号、CWEは弱点の分類、CVSSは深刻度の評価指標です。
今回まとめて公表された5件のCVEを一覧にまとめました。CVSSの値は評価主体により異なる場合があります。
| CVE番号 | 深刻度(CVSS) | 種類 | 概要 |
|---|---|---|---|
CVE-2026-54059 |
JVNDB=7.5(High)/ベンダ公式=7.5(High) | CWE-789 | 過剰なサイズ値のメモリ割り当て |
CVE-2026-54060 |
JVNDB=7.5(High)/ベンダ公式=7.5(High) | CWE-789 | 過剰なサイズ値のメモリ割り当て |
CVE-2026-55379 |
JVNDB=7.5(High)/ベンダ公式=7.5(High) | CWE-789 | 過剰なサイズ値のメモリ割り当て |
CVE-2026-55380 |
JVNDB=7.5(High)/ベンダ公式=7.5(High) | CWE-789 | 過剰なサイズ値のメモリ割り当て |
CVE-2026-55798 |
JVNDB=4.5(Medium)/ベンダ公式=4.5(Medium) | CWE-78 | OS コマンドインジェクション |
Python Pillowの2種類の脆弱性が起きる仕組み
5件の脆弱性は、大きく2種類の問題に分かれます。ここでは種類ごとに仕組みを整理しました。
過剰なサイズ値によるメモリ割り当て(CWE-789)
4件はCWE-789に該当します。CWE-789は、入力値の検証が足りないまま過大なメモリを確保してしまう弱点を指す分類です。
CWE-789に分類される問題は一般に、想定を超えるメモリ確保を招き、サービス停止などのリスクにつながります。今回の4件の深刻度は、JVNDBとベンダ公式のいずれも7.5と評価されました。
OSコマンドインジェクション(CWE-78)
残る1件はCWE-78に分類されます。CWE-78は、外部からの入力が組み立て後のOSコマンドに渡り、意図しない命令が実行される弱点です。
この脆弱性の深刻度は、JVNDBとベンダ公式ともに4.5と評価されています。悪用の前提条件は各アドバイザリで確認してください。
Python Pillowを修正版へ更新する対応手順
対象バージョンを利用している場合の対応を、優先度の高い順にまとめました。
- 上記の一覧で、利用中のPython Pillowが影響範囲に含まれるかを確認する。
pip show Pillowを実行するとインストール済みのバージョンが表示されるので、影響を受けるバージョンの表(12.3.0より前)と照合します。このコマンドは表示のみで、変更は加えません - 影響を受けるコンポーネントや機能を実際に使用しているかを確認する。自分のコードでPillow(PIL)を利用している箇所を検索し、本記事「Python Pillowの2種類の脆弱性が起きる仕組み」の節と各公式アドバイザリ(References)で対象機能を照合します
- 公式アドバイザリに従って修正版(12.3.0)へ更新する
- 直ちに更新できない場合は、公式に回避策があれば適用する
複数のCVEがまとめて修正されているため、個別ではなく修正版への更新でまとめて対応できます。
trends編集部の一言
同一製品で5件のCVEが同時に公表される場合、多くは修正版へまとめて対応できます。まずは依存関係に含まれるか、影響コンポーネントを使っているかの確認から始めると、対応の優先度を判断しやすくなるはずです。
References
- ^ JVNDB. 「Python Software FoundationのPython Pillowにおける過剰なサイズ値のメモリ割り当てに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022838.html, (参照 26-07-10).
- ^ JVNDB. 「Python Software FoundationのPython Pillowにおける過剰なサイズ値のメモリ割り当てに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022837.html, (参照 26-07-10).
- ^ JVNDB. 「Python Software FoundationのPython Pillowにおける過剰なサイズ値のメモリ割り当てに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022826.html, (参照 26-07-10).
- ^ JVNDB. 「Python Software FoundationのPython Pillowにおける過剰なサイズ値のメモリ割り当てに関する脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022825.html, (参照 26-07-10).
- ^ JVNDB. 「Python Software FoundationのPython PillowにおけるOS コマンドインジェクションの脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022821.html, (参照 26-07-10).
- ^ ベンダ公式. 「Python Pillow セキュリティ情報」. https://github.com/python-pillow/Pillow/security/advisories/GHSA-8v84-f9pq-wr9x, (参照 26-07-10).
- ^ ベンダ公式. 「Python Pillow セキュリティ情報」. https://github.com/python-pillow/Pillow/security/advisories/GHSA-5x94-69rx-g8h2, (参照 26-07-10).
- ^ ベンダ公式. 「Python Pillow セキュリティ情報」. https://github.com/python-pillow/Pillow/security/advisories/GHSA-45hq-cxwh-f6vc, (参照 26-07-10).
※本記事は一次情報(JVNDB・ベンダ公式)を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合はコメントよりご報告ください。
※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。
ITやプログラミングに関するコラム
【Git】remote設定を変更する方法
【VBA】コメントアウトを設定する方法
マークダウンで改行する方法
【CSS】notで複数の件を除外する方法
x86とx64の違いを分かりやすく解説
GitLabとGitHubの違いを解説
パソコンのメモリの目安を用途別に選ぶ方法
Linuxで環境変数を確認する方法
CapsLockキーを解除する方法
UbuntuのIPアドレスを確認する方法
ITやプログラミングに関するニュース
Apache Camelに深刻度Criticalを含む17件の脆弱性が公表、修正版への更新で対応が必要に
Hugoに5件の脆弱性が公表、修正版0.163.3への更新でまとめて対応可能に
Python Pillowに5件の脆弱性が公表、修正版12.3.0への更新で対応可能に
radare2に4件の脆弱性が公表、修正版6.1.8への更新でまとめて対応可能に
vLLMに4件の脆弱性が公表、修正版0.24.0への更新で対応が可能に
Crawl4AIに3件の脆弱性が公表、修正版0.9.0への更新でまとめて対応が可能に
Apache IoTDBに3件の脆弱性が公表、修正版2.0.8への更新で対応が必要に
pnpmにパストラバーサル脆弱性3件が公表、修正版への更新で対応が必要に
traefikに3件の脆弱性が公表、修正版への更新で対応が必要に
GitHub Copilotがリポジトリ概要機能を一般提供、初めて開くリポジトリの目的や使用技術を即把握
