1.5
Server-Software, Middleware, Web

Python

Server-Software, Middleware, Web

Python gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Python kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

65
Reports
0
Aktiv ausgenutzt
Kritisch
Höchste Priorität
52.1%
Max. EPSS

Schwachstellen-Reports

65 Reports

Zeige 1 bis 50 von 65

  1. Python StateMachine: Remote Code Execution über manipulierte SCXML-Dokumente

    CVE-2026-47103 Kritisch

    Python StateMachine in den Versionen ab 3.0.0 und vor 3.2.0 enthält eine Schwachstelle, die Remote Code Execution ermöglicht. Angreifer können laut NVD beliebigen Code ausführen, indem sie manipulierte SCXML-Dokumente einschleusen. Die Lücke ist gemäss CVSS-Vektor ohne Authentifizierung und ohne Benutzerinteraktion über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.2 %.

    CVSS: 9.8 EPSS: 1.19% Publiziert: Referenz: NVD
  2. picklescan: mehrere Python-Standardbibliotheksmodule werden nicht blockiert

    CVE-2026-56315 Kritisch

    picklescan blockiert vor Version 1.0.4 mindestens sieben Module der Python-Standardbibliothek nicht, darunter uuid, _osx_support, _aix_support, _pyrepl.pager und imaplib. Über diese Module bleiben acht Funktionen erreichbar, die entsprechende Aufrufmöglichkeiten bereitstellen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: auf Version 1.0.4 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.76% Publiziert: Referenz: NVD
  3. mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine

    CVE-2026-33646 Kritisch

    Der Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.

    CVSS: 9.6 EPSS: 0.69% Publiziert: Referenz: NVD
  4. PraisonAI: Remote Code Execution in CodeAgent._execute_python()

    CVE-2026-61447 Kritisch

    PraisonAI vor Version 1.6.78 führt laut NVD in CodeAgent._execute_python() von einem Sprachmodell erzeugten Python-Code aus, ohne AST-Validierung, Import-Beschränkungen oder Sandbox-Umgebung. Daraus ergibt sich eine Schwachstelle zur Codeausführung aus der Ferne. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf PraisonAI 1.6.78 oder neuer aktualisieren.

    CVSS: 10.0 EPSS: 0.54% Publiziert: Referenz: NVD
  5. mcp-pinot – MCP-Server ohne Authentifizierung an 0.0.0.0:8080 gebunden

    CVE-2026-49257 Kritisch

    mcp-pinot ist ein Python-basierter Model-Context-Protocol-Server (MCP) für den Zugriff auf Apache Pinot. In Version 3.0.1 und älter startet mcp-pinot standardmässig einen HTTP-MCP-Server, der an 0.0.0.0:8080 gebunden wird und damit auf allen Netzwerkschnittstellen erreichbar ist. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.0.1 aktualisieren und den Dienst nur an localhost oder ein vertrauenswürdiges Interface binden.

    CVSS: 10.0 EPSS: 0.50% Publiziert: Referenz: NVD
  6. AgentCore CLI: Code-Ausführung durch unzureichende Neutralisierung von Triple-Quotes

    CVE-2026-11393 Kritisch

    In AgentCore CLI vor Version 0.14.2 werden Triple-Quote-Zeichen bei der Python-Code-Generierung unzureichend neutralisiert. Ein authentifizierter, entfernter Angreifer könnte dadurch beliebigen Code ausführen. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 0.14.2 oder neuer aktualisieren.

    CVSS: 9.0 EPSS: 0.34% Publiziert: Referenz: NVD
  7. Snowflake Snowpark Python SDK: SQL-Injection ermöglicht Rechteausweitung

    CVE-2026-15062 Kritisch

    Im Snowflake Snowpark Python SDK (snowpark-python) vor Version 1.53.0 bestehen SQL-Injection-Schwachstellen. Authentifizierte Benutzer mit niedrigen Rechten können dadurch SQL-Anweisungen ausserhalb ihres Berechtigungsrahmens ausführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: snowpark-python auf Version 1.53.0 oder neuer aktualisieren.

    CVSS: 9.6 EPSS: 0.28% Publiziert: Referenz: NVD
  8. Black GitHub Action – unsichere Versionsauflösung via use_pyproject

    CVE-2026-31900 Kritisch

    Der Python-Code-Formatierer Black stellt eine GitHub Action bereit, die mit der Option use_pyproject: true die zu verwendende Black-Version aus der Projektkonfiguration liest. In dieser Funktion besteht eine Sicherheitslücke, die in der Schwere als kritisch eingestuft wurde. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.09% Publiziert: Referenz: NVD
  9. Python xml.parsers.expat / xml.etree.ElementTree – Hash-Flooding durch unzureichende Entropie

    CVE-2026-7210 Kritisch

    In Python werden die Module `xml.parsers.expat` und `xml.etree.ElementTree` mit unzureichender Entropie für den Expat-Hash-Flooding-Schutz betrieben. Ein speziell präpariertes XML-Dokument kann dadurch einen Hash-Flooding-Angriff auslösen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD
  10. guardrails-ai: Schadhafte Paketversion 0.10.1 auf PyPI veröffentlicht

    CVE-2026-45758 Kritisch

    Guardrails AI ist ein Python-Framework für den Bau von KI-Anwendungen. Am 11. Mai 2026 gegen 18:00 Uhr Pacific Time veröffentlichte ein Angreifer eine schadhafte Version des Pakets guardrails-ai (0.10.1) auf PyPI. Es handelt sich damit um einen Supply-Chain-Vorfall in der Paketverteilung, nicht um eine Schwachstelle im regulären Code. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.6 EPSS: 0.04% Publiziert: Referenz: NVD
  11. Tautulli: öffentliche /image/<hash>-Route löst angreiferkontrollierte Einträge auf

    CVE-2026-43986 Kritisch

    Tautulli ist ein in Python geschriebenes Monitoring- und Tracking-Werkzeug für den Plex Media Server. In Versionen vor 2.17.1 stellt die Anwendung eine öffentlich erreichbare Route /image/<hash> bereit, die angreiferkontrollierte Einträge aus dem Image-Hash-Speicher auflöst. CVSS-Basiswert: 9.9 (Kritisch) bei netzbasiertem Angriffsvektor mit nur geringen Rechten und ohne Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.

    CVSS: 9.9 EPSS: 0.04% Publiziert: Referenz: NVD
  12. Python tarfile: fehlerhafte Normalisierung von AREGTYPE-Blöcken bei Multi-Block-Membern

    CVE-2025-13462 Kritisch

    Das Python-Modul tarfile normalisiert AREGTYPE-Blöcke (\x00) weiterhin zu DIRTYPE, auch während der Verarbeitung eines Multi-Block-Members wie GNUTYPE_LONGNAME oder GNUTYPE_LONGLINK. Daraus kann sich laut Quelle eine fehlerhafte Interpretation des Archivinhalts ergeben. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Python-Updates des Herstellers einspielen, sobald verfügbar.

    CVSS: 9.8 EPSS: 0.03% Publiziert: Referenz: NVD
  13. zlib – Speicherbeschädigung beim Komprimieren (deflate) vor Version 1.2.12

    CVE-2018-25032 Hoch

    In der Kompressionsbibliothek zlib besteht vor Version 1.2.12 eine Schwachstelle, die beim Komprimieren (deflate) zu Speicherbeschädigung führen kann, wenn die Eingabe viele weit entfernte Übereinstimmungen (distant matches) enthält. Betroffen sind zahlreiche Produkte und Distributionen, die zlib einbetten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 52.1 %. Empfohlene Massnahme: auf zlib 1.2.12 oder eine vom jeweiligen Hersteller bereitgestellte korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 52.06% Publiziert: Referenz: NVD
  14. Python html.parser – CPU-Denial-of-Service durch unbeendete Markup-Deklarationen

    CVE-2026-15308 Hoch

    Der inkrementelle HTML-Parser von Python (html.parser.HTMLParser) ermöglicht einen CPU-seitigen Denial of Service, wenn beim Verarbeiten nicht kontrollierter Daten wiederholt unbeendete Markup-Deklarationen auftreten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: verfügbare Python-Sicherheitsupdates einspielen.

    CVSS: 7.5 EPSS: 0.55% Publiziert: Referenz: NVD
  15. kafka-python – Denial of Service bei der SCRAM-Authentifizierung

    CVE-2026-10143 Hoch

    kafka-python vor 2.3.2 enthält eine Denial-of-Service-Schwachstelle in der Verarbeitung der SCRAM-Authentifizierung, über die ein bösartiger oder zwischengeschalteter Broker (Machine-in-the-Middle) die Ereignisschleife des Clients einfrieren kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Aktualisierung auf kafka-python 2.3.2 oder neuer.

    CVSS: 7.5 EPSS: 0.52% Publiziert: Referenz: NVD
  16. Denial-of-Service durch fehlerhafte HTML-Sequenzen in Python-Markdown

    CVE-2025-69534 Hoch

    Python-Markdown Version 3.8 enthält eine Schwachstelle, bei der fehlerhafte HTML-ähnliche Sequenzen während des Markdown-Parsings einen unbehandelten AssertionError im HTMLParser auslösen können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD
  17. Pillow (Python): Angreiferkontrollierte Bilddimensionen beim Parsen von BDF-Schriften

    CVE-2026-55379 Hoch

    Pillow ist eine Python-Bildbibliothek. Vor Version 12.3.0 las PIL/BdfFontFile.py in bdf_char() die BBX-Breite und -Höhe aus einer BDF-Schriftdatei und übergab die angreiferkontrollierten Dimensionen an Image.new(). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf Version 12.3.0.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  18. Python Pillow: Fehler beim Zusammensetzen von Glyphen-Bitmaps in FontFile.compile()

    CVE-2026-54060 Hoch

    In der Python-Bildbibliothek Pillow vor Version 12.3.0 setzt PIL/FontFile.py in FontFile.compile() einzelne Glyphen-Bilder zu einer kombinierten Bitmap zusammen, ohne die notwendige Prüfung durchzuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  19. Python Pillow: Ungeprüfte Bildabmessungen in GdImageFile ermöglichen Denial of Service

    CVE-2026-55380 Hoch

    In der Python-Bildbibliothek Pillow vor 12.3.0 liest PIL/GdImageFile.py in GdImageFile._open() die Bildabmessungen aus dem GD-2.x-Header und speichert sie in self._size, ohne eine Dekompressionsprüfung durchzuführen. Dies kann die Verfügbarkeit beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  20. Python Pillow: Ungeprüfte Glyph-Abmessungen in PcfFontFile ermöglichen Denial of Service

    CVE-2026-54059 Hoch

    In der Python-Bildbibliothek Pillow vor 12.3.0 liest PIL/PcfFontFile.py in _load_bitmaps() die Glyph-Abmessungen aus der PCF-METRICS-Sektion und übergibt sie direkt an Image.frombytes(), ohne eine Dekompressionsprüfung durchzuführen. Dies kann die Verfügbarkeit beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

    CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD
  21. kafka-python: Denial of Service im Protokoll-Parser

    CVE-2026-10142 Hoch

    kafka-python vor Version 2.3.2 enthält eine Denial-of-Service-Schwachstelle im Protokoll-Parser. Ein bösartiger Broker oder ein Machine-in-the-Middle-Angreifer kann dadurch Speicher erschöpfen oder Verbindungen aufhängen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: kafka-python auf Version 2.3.2 oder neuer aktualisieren.

    CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD
  22. Python-Multipart – fehlerhafte Trennzeichensuche beim Parsen von x-www-form-urlencoded

    CVE-2026-53539 Hoch

    Python-Multipart ist ein Streaming-Multipart-Parser für Python. In Versionen vor 0.0.30 lokalisierte der QuerystringParser beim Parsen von application/x-www-form-urlencoded-Bodies das Feldtrennzeichen über eine zweistufige Suche, was ausgenutzt werden konnte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 0.0.30 oder neuer aktualisieren.

    CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD
  23. shutil.unpack_archive() – Path-Traversal bei absoluten Windows-Pfaden

    CVE-2026-3087 Hoch

    In Python's shutil.unpack_archive() besteht eine Path-Traversal-Schwachstelle: Wird ein ZIP-Archiv mit einem absoluten Windows-Pfad inklusive Laufwerksbuchstaben (z. B. C:\...) entpackt, erfolgt die Extraktion ausserhalb des Zielverzeichnisses. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.15% Publiziert: Referenz: NVD
  24. Python Liquid – Path-Traversal im FileSystemLoader

    CVE-2026-45017 Hoch

    Die Python-Engine für die Liquid-Template-Sprache schützt vor Version 2.2.0 in den eingebauten Loadern FileSystemLoader und CachingFileSystemLoader nicht gegen das Lesen von Dateien ausserhalb des konfigurierten Suchpfads. Dies ermöglicht einen Path-Traversal-Angriff. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  25. Expat (libexpat) – Stack-Überlauf bei tief verschachteltem Content-Modell

    CVE-2026-4224 Hoch

    Wenn ein Expat-Parser mit registriertem ElementDeclHandler eine Inline-Dokumenttypdefinition (DTD) mit einem tief verschachtelten Content-Modell verarbeitet, kommt es zu einem C-Stack-Überlauf. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: verfügbare Sicherheitsupdates einspielen.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  26. OpenStack ironic-python-agent: Unsichere grub-install-Ausführung in Chroot

    CVE-2026-43003 Hoch

    In OpenStack ironic-python-agent (IPA) von Version 1.0.0 bis 11.5.0 wird grub-install in bestimmten Fällen innerhalb eines Chroots des bereitgestellten Partition-Images ausgeführt, was zu unbeabsichtigter Codeausführung führen kann. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.0 EPSS: 0.04% Publiziert: Referenz: NVD
  27. Python http.cookies: Unvollständiger Fix für Steuerzeichen in Morsel

    CVE-2026-3644 Hoch

    Der Fix für CVE-2026-0672, der Steuerzeichen in http.cookies.Morsel zurückwies, war unvollständig: Die Pfade Morsel.update(), der |=-Operator sowie das Unpickling wurden nicht gepatcht, sodass weiterhin Steuerzeichen eingeschleust werden konnten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  28. Tautulli – log_js_errors für authentifizierte Benutzer zugänglich

    CVE-2026-43984 Hoch

    Tautulli, ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server, macht in Versionen vor 2.17.1 die Funktion log_js_errors für jeden authentifizierten Benutzer zugänglich – einschliesslich Gastbenutzern, wenn der Gastzugang aktiviert ist. CVSS-Basiswert: 8.9 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Version 2.17.1 oder neuer aktualisieren.

    CVSS: 8.9 EPSS: 0.04% Publiziert: Referenz: NVD
  29. Black – unsicherer Cache-Dateiname via --python-cell-magics

    CVE-2026-32274 Hoch

    Im Python-Code-Formatierer Black (vor Version 26.3.1) wird der Name der Cache-Datei aus verschiedenen Formatierungsoptionen berechnet. Der Wert der Option --python-cell-magics fliesst dabei unkontrolliert ein, was zu einer Sicherheitslücke führt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  30. Fehlende Zugriffskontrolle im configUpdate-Endpunkt von Tautulli

    CVE-2026-43985 Hoch

    Tautulli, ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server, stellt in Versionen vor 2.17.1 den zustandsändernden Administrator-Endpunkt configUpdate bereit, ohne dass die Route eine ausreichende Zugriffskontrolle erzwingt. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  31. Pillow – Speicherfehler beim Verarbeiten schadhafter PSD-Dateien

    CVE-2026-42311 Hoch

    In der Python-Bildbibliothek Pillow kann die Verarbeitung einer schadhaften PSD-Datei in den Versionen 10.3.0 bis vor 12.2.0 zu Speicherkorruption führen, was potenziell einen Absturz oder die Ausführung beliebigen Codes zur Folge haben kann. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD
  32. pymanager – unsicheres sys.path ermöglicht Modul-Shadowing

    CVE-2026-5271 Hoch

    pymanager fügt das aktuelle Arbeitsverzeichnis in sys.path ein, wodurch Module durch gleichnamige Module im Arbeitsverzeichnis überlagert werden können. Führt ein Benutzer einen von pymanager erzeugten Befehl aus, können so lokale, möglicherweise schadhafte Module anstelle der legitimen Bibliotheken geladen werden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD
  33. urllib3 – unkontrollierte vollständige Dekomprimierung bei teilweisem Lesen

    CVE-2026-44432 Hoch

    In der Python-HTTP-Client-Bibliothek urllib3 kann in den Versionen 2.6.0 bis vor 2.7.0 beim zweiten Aufruf von HTTPResponse.read(amt=N) die gesamte Antwort statt nur des angeforderten Teils dekomprimiert werden. Dies kann zu übermässigem Ressourcenverbrauch führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  34. Pillow – Decompression-Bomb-Angriff beim Dekodieren von FITS-Bildern

    CVE-2026-40192 Hoch

    Die Python-Bildbibliothek Pillow begrenzt in den Versionen 10.3.0 bis 12.1.1 die Menge der beim Dekodieren von FITS-Bildern gelesenen GZIP-komprimierten Daten nicht. Dies macht sie anfällig für Decompression-Bomb-Angriffe (übermässiger Speicherverbrauch). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  35. AIOHTTP – Cookie-Weitergabe bei Cross-Origin-Weiterleitungen

    CVE-2026-47265 Hoch

    In AIOHTTP vor Version 3.14.0 werden Cookies, die über den cookies-Parameter einer Anfrage gesetzt wurden, nach Cross-Origin-Weiterleitungen weiterhin mitgesendet. Dies kann zur unbeabsichtigten Übermittlung von Sitzungscookies an Drittanbieter-Server führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Aktualisierung auf AIOHTTP 3.14.0 oder neuer.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  36. Out-of-Bounds Write beim Laden von PSD-Dateien in Pillow

    CVE-2026-25990 Hoch

    In der Python-Bildbibliothek Pillow (Versionen 10.3.0 bis vor 12.1.1) kann das Laden eines speziell präparierten PSD-Bildes einen Out-of-Bounds-Schreibzugriff auslösen. Das Problem wurde in Version 12.1.1 behoben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD
  37. Python Pillow – Heap-Out-of-bounds-Write über Bildkoordinaten-APIs

    CVE-2026-59199 Hoch

    Pillow ist eine Python-Bildverarbeitungsbibliothek. In Versionen vor 12.3.0 können öffentliche APIs für Bildkoordinaten einen nativen Heap-Schreibzugriff ausserhalb der Puffergrenzen auslösen, wenn Koordinaten nahe den Grenzen des vorzeichenbehafteten 32-Bit-Integers übergeben werden. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

    CVSS: 7.5 Publiziert: Referenz: NVD
  38. Python Pillow: unbegrenzte Dekompression im PDF-Parser

    CVE-2026-59200 Hoch

    In der Python-Bibliothek Pillow (5.1.0 bis vor 12.3.0) ruft PdfParser.PdfStream.decode() in PIL/PdfParser.py die Funktion zlib.decompress() mit einem aus dem PDF-Stream stammenden Length-Feld als bufsize auf, ohne diesen Wert zu begrenzen. Das kann zu übermässigem Ressourcenverbrauch führen. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf eine korrigierte Pillow-Version aktualisieren.

    CVSS: 7.5 Publiziert: Referenz: NVD
  39. Python Pillow – Heap-Überlauf in RankFilter (Bildbibliothek)

    CVE-2026-59197 Hoch

    Die Python-Bildbibliothek Pillow vor Version 12.3.0 kann über die öffentliche Rank-Filter-API einen nativen Heap-Schreibzugriff ausserhalb der Grenzen auslösen, wenn eine sehr grosse ungerade Filtergrösse übergeben wird. Betroffen ist die Funktion ImageFilter.RankFilter. CVSS-Basiswert: 8.2 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Pillow 12.3.0 oder neuer einspielen.

    CVSS: 8.2 Publiziert: Referenz: NVD
  40. Python Pillow – Heap-Korruption in ImageCms-Transformation

    CVE-2026-59205 Hoch

    Die Python-Bildbibliothek Pillow vor Version 12.3.0 kann über die API ImageCms.ImageCmsTransform.apply() eine kontrollierte native Heap-Korruption auslösen, wenn der Aufrufer ein Ausgabebild mit ungeeigneten Eigenschaften übergibt. CVSS-Basiswert: 7.5 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Pillow 12.3.0 oder neuer einspielen.

    CVSS: 7.5 Publiziert: Referenz: NVD
  41. Fehlerhafte Real-Verarbeitung in pyasn1 (Python) (CVE-2026-59886)

    CVE-2026-59886 Hoch

    pyasn1 ist eine generische ASN.1-Bibliothek für Python. In Versionen vor 0.6.4 wandelte der Typ univ.Real Mantisse, Basis und Exponent mittels exakter Big-Integer-Exponentiation in einen Python-Float um, was über manipulierte codierte Daten missbraucht werden kann. CVSS-Basiswert: 7.5 (Hoch). Der Angriff erfolgt über das Netzwerk ohne erforderliche Rechte. Empfohlene Massnahme: pyasn1 auf Version 0.6.4 oder neuer aktualisieren.

    CVSS: 7.5 Publiziert: Referenz: NVD
  42. Denial of Service im BER-Decoder von pyasn1 (CVE-2026-59884)

    CVE-2026-59884 Hoch

    pyasn1, eine ASN.1-Bibliothek für Python, akkumuliert im gemeinsam von CER- und DER-Codecs genutzten BER-Decoder vor Version 0.6.4 die Fortsetzungsoktette von Long-Form-Tags ohne obere Grenze. CVSS-Basiswert: 7.5 (Hoch). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf pyasn1 0.6.4 oder neuer aktualisieren.

    CVSS: 7.5 Publiziert: Referenz: NVD
  43. pyasn1 – quadratische Laufzeit beim Dekodieren von OBJECT IDENTIFIER (DoS)

    CVE-2026-59885 Hoch

    pyasn1 ist eine generische ASN.1-Bibliothek für Python. Vor Version 0.6.4 verarbeiten die BER-, CER- und DER-Decoder OBJECT-IDENTIFIER- und RELATIVE-OID-Werte in quadratischer Zeit zur Anzahl der Bögen, sodass bereits eine kleine Eingabe hohe Last erzeugen kann. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf pyasn1 0.6.4 oder neuer aktualisieren.

    CVSS: 7.5 Publiziert: Referenz: NVD
  44. NiceGUI – Server-seitige Dateieinbindung via ui.restructured_text()

    CVE-2026-45553 Hoch

    Im Python-basierten UI-Framework NiceGUI rendert ui.restructured_text() vor Version 3.12.0 reStructuredText serverseitig mit Docutils, ohne Dateieinbindungs-Direktiven zu deaktivieren. Dies kann von Angreifern zur Einbindung beliebiger Serverdateien missbraucht werden. CVSS-Basiswert: 7.5 (Hoch).

    CVSS: 7.5 Publiziert: Referenz: NVD
  45. python-multipart – Denial of Service beim Parsen von Multipart-Headern

    CVE-2026-42561 Hoch

    python-multipart ist ein Streaming-Parser für Multipart-Daten in Python. In Versionen vor 0.0.27 besteht beim Parsen der Header eines Multipart-Teils eine Denial-of-Service-Schwachstelle, die beim Verarbeiten von multipart/form-data ausgelöst werden kann. CVSS-Basiswert: 7.5 (Hoch) – Angriff über das Netzwerk ohne Rechte und ohne Nutzerinteraktion, mit hoher Auswirkung auf die Verfügbarkeit. Empfohlene Massnahme: auf python-multipart 0.0.27 oder neuer aktualisieren.

    CVSS: 7.5 Publiziert: Referenz: NVD
  46. Python Liquid: Fehlerbehandlung bei fehlerhaftem case-Tag

    CVE-2026-55865 Mittel

    Python Liquid ist eine Python-Engine für die Template-Sprache Liquid. Vor Version 2.2.1 tritt bei einem fehlerhaften case-Tag ohne zugehörigen when- oder else-Block und ohne abschliessendes endcase-Tag ein Fehler auf. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Aktualisierung auf Python Liquid 2.2.1 oder neuer.

    EPSS: 0.45% Publiziert: Referenz: NVD
  47. Tautulli: Remote Code Execution über benutzerdefinierte Newsletter-Templates

    CVE-2026-41065 Mittel

    Tautulli, ein Python-basiertes Monitoring- und Tracking-Werkzeug für Plex Media Server, ist in Versionen vor 2.17.1 über die Funktion für ein benutzerdefiniertes Newsletter-Template-Verzeichnis anfällig für Remote Code Execution. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.

    EPSS: 0.38% Publiziert: Referenz: NVD
  48. Grist vor 1.7.15: Zwei Cross-Site-Scripting-Schwachstellen

    CVE-2026-55665 Mittel

    Grist ist eine Tabellenkalkulations-Software, die Python als Formelsprache nutzt. Vor Version 1.7.15 enthielt Grist zwei Cross-Site-Scripting-Schwachstellen, bei denen ein vom Angreifer kontrollierter Wert in das href-Attribut eines Links gelangt. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 1.7.15 oder neuer aktualisieren.

    EPSS: 0.32% Publiziert: Referenz: NVD
  49. Python setuptools: Fehlerhafte MANIFEST.in-Verarbeitung in FileList (< 83.0.0)

    CVE-2026-59890 Mittel

    setuptools ist ein Paket zum Herunterladen, Bauen, Installieren, Aktualisieren und Deinstallieren von Python-Paketen. Vor Version 83.0.0 wendete FileList die MANIFEST.in-Regeln exclude, global-exclude und recursive-exclude fehlerhaft an. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf setuptools 83.0.0 aktualisieren.

    CVSS: 6.1 EPSS: 0.27% Publiziert: Referenz: NVD
  50. Python Zeep: forbid_external wird bei WSDL/XSD-Verarbeitung nicht erzwungen

    CVE-2026-58501 Mittel

    Zeep ist ein SOAP-Client für Python. In den Versionen ab 4.0.0 bis vor 4.3.3 ist Settings.forbid_external zwar definiert, wird beim Parsen von WSDL- oder XSD-Dokumenten aber nicht durchgesetzt, wodurch transitive xsd:import-, xsd:include- und wsdl:import-Verweise zugelassen werden. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf Zeep 4.3.3 oder neuer.

    CVSS: 5.9 EPSS: 0.25% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Python, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog