Python
Python gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Python kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
65 ReportsZeige 1 bis 50 von 65
-
Python StateMachine: Remote Code Execution über manipulierte SCXML-Dokumente
CVE-2026-47103 KritischPython StateMachine in den Versionen ab 3.0.0 und vor 3.2.0 enthält eine Schwachstelle, die Remote Code Execution ermöglicht. Angreifer können laut NVD beliebigen Code ausführen, indem sie manipulierte SCXML-Dokumente einschleusen. Die Lücke ist gemäss CVSS-Vektor ohne Authentifizierung und ohne Benutzerinteraktion über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.2 %.
CVSS: 9.8 EPSS: 1.19% Publiziert: Referenz: NVD -
picklescan: mehrere Python-Standardbibliotheksmodule werden nicht blockiert
CVE-2026-56315 Kritischpicklescan blockiert vor Version 1.0.4 mindestens sieben Module der Python-Standardbibliothek nicht, darunter uuid, _osx_support, _aix_support, _pyrepl.pager und imaplib. Über diese Module bleiben acht Funktionen erreichbar, die entsprechende Aufrufmöglichkeiten bereitstellen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: auf Version 1.0.4 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.76% Publiziert: Referenz: NVD -
mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine
CVE-2026-33646 KritischDer Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.69% Publiziert: Referenz: NVD -
PraisonAI: Remote Code Execution in CodeAgent._execute_python()
CVE-2026-61447 KritischPraisonAI vor Version 1.6.78 führt laut NVD in CodeAgent._execute_python() von einem Sprachmodell erzeugten Python-Code aus, ohne AST-Validierung, Import-Beschränkungen oder Sandbox-Umgebung. Daraus ergibt sich eine Schwachstelle zur Codeausführung aus der Ferne. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf PraisonAI 1.6.78 oder neuer aktualisieren.
CVSS: 10.0 EPSS: 0.54% Publiziert: Referenz: NVD -
mcp-pinot – MCP-Server ohne Authentifizierung an 0.0.0.0:8080 gebunden
CVE-2026-49257 Kritischmcp-pinot ist ein Python-basierter Model-Context-Protocol-Server (MCP) für den Zugriff auf Apache Pinot. In Version 3.0.1 und älter startet mcp-pinot standardmässig einen HTTP-MCP-Server, der an 0.0.0.0:8080 gebunden wird und damit auf allen Netzwerkschnittstellen erreichbar ist. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.0.1 aktualisieren und den Dienst nur an localhost oder ein vertrauenswürdiges Interface binden.
CVSS: 10.0 EPSS: 0.50% Publiziert: Referenz: NVD -
AgentCore CLI: Code-Ausführung durch unzureichende Neutralisierung von Triple-Quotes
CVE-2026-11393 KritischIn AgentCore CLI vor Version 0.14.2 werden Triple-Quote-Zeichen bei der Python-Code-Generierung unzureichend neutralisiert. Ein authentifizierter, entfernter Angreifer könnte dadurch beliebigen Code ausführen. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 0.14.2 oder neuer aktualisieren.
CVSS: 9.0 EPSS: 0.34% Publiziert: Referenz: NVD -
Snowflake Snowpark Python SDK: SQL-Injection ermöglicht Rechteausweitung
CVE-2026-15062 KritischIm Snowflake Snowpark Python SDK (snowpark-python) vor Version 1.53.0 bestehen SQL-Injection-Schwachstellen. Authentifizierte Benutzer mit niedrigen Rechten können dadurch SQL-Anweisungen ausserhalb ihres Berechtigungsrahmens ausführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: snowpark-python auf Version 1.53.0 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.28% Publiziert: Referenz: NVD -
Black GitHub Action – unsichere Versionsauflösung via use_pyproject
CVE-2026-31900 KritischDer Python-Code-Formatierer Black stellt eine GitHub Action bereit, die mit der Option use_pyproject: true die zu verwendende Black-Version aus der Projektkonfiguration liest. In dieser Funktion besteht eine Sicherheitslücke, die in der Schwere als kritisch eingestuft wurde. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.09% Publiziert: Referenz: NVD -
Python xml.parsers.expat / xml.etree.ElementTree – Hash-Flooding durch unzureichende Entropie
CVE-2026-7210 KritischIn Python werden die Module `xml.parsers.expat` und `xml.etree.ElementTree` mit unzureichender Entropie für den Expat-Hash-Flooding-Schutz betrieben. Ein speziell präpariertes XML-Dokument kann dadurch einen Hash-Flooding-Angriff auslösen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD -
guardrails-ai: Schadhafte Paketversion 0.10.1 auf PyPI veröffentlicht
CVE-2026-45758 KritischGuardrails AI ist ein Python-Framework für den Bau von KI-Anwendungen. Am 11. Mai 2026 gegen 18:00 Uhr Pacific Time veröffentlichte ein Angreifer eine schadhafte Version des Pakets guardrails-ai (0.10.1) auf PyPI. Es handelt sich damit um einen Supply-Chain-Vorfall in der Paketverteilung, nicht um eine Schwachstelle im regulären Code. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.6 EPSS: 0.04% Publiziert: Referenz: NVD -
Tautulli: öffentliche /image/<hash>-Route löst angreiferkontrollierte Einträge auf
CVE-2026-43986 KritischTautulli ist ein in Python geschriebenes Monitoring- und Tracking-Werkzeug für den Plex Media Server. In Versionen vor 2.17.1 stellt die Anwendung eine öffentlich erreichbare Route /image/<hash> bereit, die angreiferkontrollierte Einträge aus dem Image-Hash-Speicher auflöst. CVSS-Basiswert: 9.9 (Kritisch) bei netzbasiertem Angriffsvektor mit nur geringen Rechten und ohne Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.
CVSS: 9.9 EPSS: 0.04% Publiziert: Referenz: NVD -
Python tarfile: fehlerhafte Normalisierung von AREGTYPE-Blöcken bei Multi-Block-Membern
CVE-2025-13462 KritischDas Python-Modul tarfile normalisiert AREGTYPE-Blöcke (\x00) weiterhin zu DIRTYPE, auch während der Verarbeitung eines Multi-Block-Members wie GNUTYPE_LONGNAME oder GNUTYPE_LONGLINK. Daraus kann sich laut Quelle eine fehlerhafte Interpretation des Archivinhalts ergeben. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Python-Updates des Herstellers einspielen, sobald verfügbar.
CVSS: 9.8 EPSS: 0.03% Publiziert: Referenz: NVD -
zlib – Speicherbeschädigung beim Komprimieren (deflate) vor Version 1.2.12
CVE-2018-25032 HochIn der Kompressionsbibliothek zlib besteht vor Version 1.2.12 eine Schwachstelle, die beim Komprimieren (deflate) zu Speicherbeschädigung führen kann, wenn die Eingabe viele weit entfernte Übereinstimmungen (distant matches) enthält. Betroffen sind zahlreiche Produkte und Distributionen, die zlib einbetten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 52.1 %. Empfohlene Massnahme: auf zlib 1.2.12 oder eine vom jeweiligen Hersteller bereitgestellte korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 52.06% Publiziert: Referenz: NVD -
Python html.parser – CPU-Denial-of-Service durch unbeendete Markup-Deklarationen
CVE-2026-15308 HochDer inkrementelle HTML-Parser von Python (html.parser.HTMLParser) ermöglicht einen CPU-seitigen Denial of Service, wenn beim Verarbeiten nicht kontrollierter Daten wiederholt unbeendete Markup-Deklarationen auftreten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: verfügbare Python-Sicherheitsupdates einspielen.
CVSS: 7.5 EPSS: 0.55% Publiziert: Referenz: NVD -
kafka-python – Denial of Service bei der SCRAM-Authentifizierung
CVE-2026-10143 Hochkafka-python vor 2.3.2 enthält eine Denial-of-Service-Schwachstelle in der Verarbeitung der SCRAM-Authentifizierung, über die ein bösartiger oder zwischengeschalteter Broker (Machine-in-the-Middle) die Ereignisschleife des Clients einfrieren kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Aktualisierung auf kafka-python 2.3.2 oder neuer.
CVSS: 7.5 EPSS: 0.52% Publiziert: Referenz: NVD -
Denial-of-Service durch fehlerhafte HTML-Sequenzen in Python-Markdown
CVE-2025-69534 HochPython-Markdown Version 3.8 enthält eine Schwachstelle, bei der fehlerhafte HTML-ähnliche Sequenzen während des Markdown-Parsings einen unbehandelten AssertionError im HTMLParser auslösen können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD -
Pillow (Python): Angreiferkontrollierte Bilddimensionen beim Parsen von BDF-Schriften
CVE-2026-55379 HochPillow ist eine Python-Bildbibliothek. Vor Version 12.3.0 las PIL/BdfFontFile.py in bdf_char() die BBX-Breite und -Höhe aus einer BDF-Schriftdatei und übergab die angreiferkontrollierten Dimensionen an Image.new(). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf Version 12.3.0.
CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD -
Python Pillow: Fehler beim Zusammensetzen von Glyphen-Bitmaps in FontFile.compile()
CVE-2026-54060 HochIn der Python-Bildbibliothek Pillow vor Version 12.3.0 setzt PIL/FontFile.py in FontFile.compile() einzelne Glyphen-Bilder zu einer kombinierten Bitmap zusammen, ohne die notwendige Prüfung durchzuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.
CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD -
Python Pillow: Ungeprüfte Bildabmessungen in GdImageFile ermöglichen Denial of Service
CVE-2026-55380 HochIn der Python-Bildbibliothek Pillow vor 12.3.0 liest PIL/GdImageFile.py in GdImageFile._open() die Bildabmessungen aus dem GD-2.x-Header und speichert sie in self._size, ohne eine Dekompressionsprüfung durchzuführen. Dies kann die Verfügbarkeit beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.
CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD -
Python Pillow: Ungeprüfte Glyph-Abmessungen in PcfFontFile ermöglichen Denial of Service
CVE-2026-54059 HochIn der Python-Bildbibliothek Pillow vor 12.3.0 liest PIL/PcfFontFile.py in _load_bitmaps() die Glyph-Abmessungen aus der PCF-METRICS-Sektion und übergibt sie direkt an Image.frombytes(), ohne eine Dekompressionsprüfung durchzuführen. Dies kann die Verfügbarkeit beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.
CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD -
kafka-python: Denial of Service im Protokoll-Parser
CVE-2026-10142 Hochkafka-python vor Version 2.3.2 enthält eine Denial-of-Service-Schwachstelle im Protokoll-Parser. Ein bösartiger Broker oder ein Machine-in-the-Middle-Angreifer kann dadurch Speicher erschöpfen oder Verbindungen aufhängen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: kafka-python auf Version 2.3.2 oder neuer aktualisieren.
CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD -
Python-Multipart – fehlerhafte Trennzeichensuche beim Parsen von x-www-form-urlencoded
CVE-2026-53539 HochPython-Multipart ist ein Streaming-Multipart-Parser für Python. In Versionen vor 0.0.30 lokalisierte der QuerystringParser beim Parsen von application/x-www-form-urlencoded-Bodies das Feldtrennzeichen über eine zweistufige Suche, was ausgenutzt werden konnte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 0.0.30 oder neuer aktualisieren.
CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD -
shutil.unpack_archive() – Path-Traversal bei absoluten Windows-Pfaden
CVE-2026-3087 HochIn Python's shutil.unpack_archive() besteht eine Path-Traversal-Schwachstelle: Wird ein ZIP-Archiv mit einem absoluten Windows-Pfad inklusive Laufwerksbuchstaben (z. B. C:\...) entpackt, erfolgt die Extraktion ausserhalb des Zielverzeichnisses. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.15% Publiziert: Referenz: NVD -
Python Liquid – Path-Traversal im FileSystemLoader
CVE-2026-45017 HochDie Python-Engine für die Liquid-Template-Sprache schützt vor Version 2.2.0 in den eingebauten Loadern FileSystemLoader und CachingFileSystemLoader nicht gegen das Lesen von Dateien ausserhalb des konfigurierten Suchpfads. Dies ermöglicht einen Path-Traversal-Angriff. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Expat (libexpat) – Stack-Überlauf bei tief verschachteltem Content-Modell
CVE-2026-4224 HochWenn ein Expat-Parser mit registriertem ElementDeclHandler eine Inline-Dokumenttypdefinition (DTD) mit einem tief verschachtelten Content-Modell verarbeitet, kommt es zu einem C-Stack-Überlauf. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: verfügbare Sicherheitsupdates einspielen.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
OpenStack ironic-python-agent: Unsichere grub-install-Ausführung in Chroot
CVE-2026-43003 HochIn OpenStack ironic-python-agent (IPA) von Version 1.0.0 bis 11.5.0 wird grub-install in bestimmten Fällen innerhalb eines Chroots des bereitgestellten Partition-Images ausgeführt, was zu unbeabsichtigter Codeausführung führen kann. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.0 EPSS: 0.04% Publiziert: Referenz: NVD -
Python http.cookies: Unvollständiger Fix für Steuerzeichen in Morsel
CVE-2026-3644 HochDer Fix für CVE-2026-0672, der Steuerzeichen in http.cookies.Morsel zurückwies, war unvollständig: Die Pfade Morsel.update(), der |=-Operator sowie das Unpickling wurden nicht gepatcht, sodass weiterhin Steuerzeichen eingeschleust werden konnten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
Tautulli – log_js_errors für authentifizierte Benutzer zugänglich
CVE-2026-43984 HochTautulli, ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server, macht in Versionen vor 2.17.1 die Funktion log_js_errors für jeden authentifizierten Benutzer zugänglich – einschliesslich Gastbenutzern, wenn der Gastzugang aktiviert ist. CVSS-Basiswert: 8.9 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Version 2.17.1 oder neuer aktualisieren.
CVSS: 8.9 EPSS: 0.04% Publiziert: Referenz: NVD -
Black – unsicherer Cache-Dateiname via --python-cell-magics
CVE-2026-32274 HochIm Python-Code-Formatierer Black (vor Version 26.3.1) wird der Name der Cache-Datei aus verschiedenen Formatierungsoptionen berechnet. Der Wert der Option --python-cell-magics fliesst dabei unkontrolliert ein, was zu einer Sicherheitslücke führt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Fehlende Zugriffskontrolle im configUpdate-Endpunkt von Tautulli
CVE-2026-43985 HochTautulli, ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server, stellt in Versionen vor 2.17.1 den zustandsändernden Administrator-Endpunkt configUpdate bereit, ohne dass die Route eine ausreichende Zugriffskontrolle erzwingt. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Pillow – Speicherfehler beim Verarbeiten schadhafter PSD-Dateien
CVE-2026-42311 HochIn der Python-Bildbibliothek Pillow kann die Verarbeitung einer schadhaften PSD-Datei in den Versionen 10.3.0 bis vor 12.2.0 zu Speicherkorruption führen, was potenziell einen Absturz oder die Ausführung beliebigen Codes zur Folge haben kann. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD -
pymanager – unsicheres sys.path ermöglicht Modul-Shadowing
CVE-2026-5271 Hochpymanager fügt das aktuelle Arbeitsverzeichnis in sys.path ein, wodurch Module durch gleichnamige Module im Arbeitsverzeichnis überlagert werden können. Führt ein Benutzer einen von pymanager erzeugten Befehl aus, können so lokale, möglicherweise schadhafte Module anstelle der legitimen Bibliotheken geladen werden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD -
urllib3 – unkontrollierte vollständige Dekomprimierung bei teilweisem Lesen
CVE-2026-44432 HochIn der Python-HTTP-Client-Bibliothek urllib3 kann in den Versionen 2.6.0 bis vor 2.7.0 beim zweiten Aufruf von HTTPResponse.read(amt=N) die gesamte Antwort statt nur des angeforderten Teils dekomprimiert werden. Dies kann zu übermässigem Ressourcenverbrauch führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Pillow – Decompression-Bomb-Angriff beim Dekodieren von FITS-Bildern
CVE-2026-40192 HochDie Python-Bildbibliothek Pillow begrenzt in den Versionen 10.3.0 bis 12.1.1 die Menge der beim Dekodieren von FITS-Bildern gelesenen GZIP-komprimierten Daten nicht. Dies macht sie anfällig für Decompression-Bomb-Angriffe (übermässiger Speicherverbrauch). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
AIOHTTP – Cookie-Weitergabe bei Cross-Origin-Weiterleitungen
CVE-2026-47265 HochIn AIOHTTP vor Version 3.14.0 werden Cookies, die über den cookies-Parameter einer Anfrage gesetzt wurden, nach Cross-Origin-Weiterleitungen weiterhin mitgesendet. Dies kann zur unbeabsichtigten Übermittlung von Sitzungscookies an Drittanbieter-Server führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Aktualisierung auf AIOHTTP 3.14.0 oder neuer.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Out-of-Bounds Write beim Laden von PSD-Dateien in Pillow
CVE-2026-25990 HochIn der Python-Bildbibliothek Pillow (Versionen 10.3.0 bis vor 12.1.1) kann das Laden eines speziell präparierten PSD-Bildes einen Out-of-Bounds-Schreibzugriff auslösen. Das Problem wurde in Version 12.1.1 behoben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD -
Python Pillow – Heap-Out-of-bounds-Write über Bildkoordinaten-APIs
CVE-2026-59199 HochPillow ist eine Python-Bildverarbeitungsbibliothek. In Versionen vor 12.3.0 können öffentliche APIs für Bildkoordinaten einen nativen Heap-Schreibzugriff ausserhalb der Puffergrenzen auslösen, wenn Koordinaten nahe den Grenzen des vorzeichenbehafteten 32-Bit-Integers übergeben werden. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.
CVSS: 7.5 Publiziert: Referenz: NVD -
Python Pillow: unbegrenzte Dekompression im PDF-Parser
CVE-2026-59200 HochIn der Python-Bibliothek Pillow (5.1.0 bis vor 12.3.0) ruft PdfParser.PdfStream.decode() in PIL/PdfParser.py die Funktion zlib.decompress() mit einem aus dem PDF-Stream stammenden Length-Feld als bufsize auf, ohne diesen Wert zu begrenzen. Das kann zu übermässigem Ressourcenverbrauch führen. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf eine korrigierte Pillow-Version aktualisieren.
CVSS: 7.5 Publiziert: Referenz: NVD -
Python Pillow – Heap-Überlauf in RankFilter (Bildbibliothek)
CVE-2026-59197 HochDie Python-Bildbibliothek Pillow vor Version 12.3.0 kann über die öffentliche Rank-Filter-API einen nativen Heap-Schreibzugriff ausserhalb der Grenzen auslösen, wenn eine sehr grosse ungerade Filtergrösse übergeben wird. Betroffen ist die Funktion ImageFilter.RankFilter. CVSS-Basiswert: 8.2 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Pillow 12.3.0 oder neuer einspielen.
CVSS: 8.2 Publiziert: Referenz: NVD -
Python Pillow – Heap-Korruption in ImageCms-Transformation
CVE-2026-59205 HochDie Python-Bildbibliothek Pillow vor Version 12.3.0 kann über die API ImageCms.ImageCmsTransform.apply() eine kontrollierte native Heap-Korruption auslösen, wenn der Aufrufer ein Ausgabebild mit ungeeigneten Eigenschaften übergibt. CVSS-Basiswert: 7.5 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Pillow 12.3.0 oder neuer einspielen.
CVSS: 7.5 Publiziert: Referenz: NVD -
Fehlerhafte Real-Verarbeitung in pyasn1 (Python) (CVE-2026-59886)
CVE-2026-59886 Hochpyasn1 ist eine generische ASN.1-Bibliothek für Python. In Versionen vor 0.6.4 wandelte der Typ univ.Real Mantisse, Basis und Exponent mittels exakter Big-Integer-Exponentiation in einen Python-Float um, was über manipulierte codierte Daten missbraucht werden kann. CVSS-Basiswert: 7.5 (Hoch). Der Angriff erfolgt über das Netzwerk ohne erforderliche Rechte. Empfohlene Massnahme: pyasn1 auf Version 0.6.4 oder neuer aktualisieren.
CVSS: 7.5 Publiziert: Referenz: NVD -
Denial of Service im BER-Decoder von pyasn1 (CVE-2026-59884)
CVE-2026-59884 Hochpyasn1, eine ASN.1-Bibliothek für Python, akkumuliert im gemeinsam von CER- und DER-Codecs genutzten BER-Decoder vor Version 0.6.4 die Fortsetzungsoktette von Long-Form-Tags ohne obere Grenze. CVSS-Basiswert: 7.5 (Hoch). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf pyasn1 0.6.4 oder neuer aktualisieren.
CVSS: 7.5 Publiziert: Referenz: NVD -
pyasn1 – quadratische Laufzeit beim Dekodieren von OBJECT IDENTIFIER (DoS)
CVE-2026-59885 Hochpyasn1 ist eine generische ASN.1-Bibliothek für Python. Vor Version 0.6.4 verarbeiten die BER-, CER- und DER-Decoder OBJECT-IDENTIFIER- und RELATIVE-OID-Werte in quadratischer Zeit zur Anzahl der Bögen, sodass bereits eine kleine Eingabe hohe Last erzeugen kann. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf pyasn1 0.6.4 oder neuer aktualisieren.
CVSS: 7.5 Publiziert: Referenz: NVD -
NiceGUI – Server-seitige Dateieinbindung via ui.restructured_text()
CVE-2026-45553 HochIm Python-basierten UI-Framework NiceGUI rendert ui.restructured_text() vor Version 3.12.0 reStructuredText serverseitig mit Docutils, ohne Dateieinbindungs-Direktiven zu deaktivieren. Dies kann von Angreifern zur Einbindung beliebiger Serverdateien missbraucht werden. CVSS-Basiswert: 7.5 (Hoch).
CVSS: 7.5 Publiziert: Referenz: NVD -
python-multipart – Denial of Service beim Parsen von Multipart-Headern
CVE-2026-42561 Hochpython-multipart ist ein Streaming-Parser für Multipart-Daten in Python. In Versionen vor 0.0.27 besteht beim Parsen der Header eines Multipart-Teils eine Denial-of-Service-Schwachstelle, die beim Verarbeiten von multipart/form-data ausgelöst werden kann. CVSS-Basiswert: 7.5 (Hoch) – Angriff über das Netzwerk ohne Rechte und ohne Nutzerinteraktion, mit hoher Auswirkung auf die Verfügbarkeit. Empfohlene Massnahme: auf python-multipart 0.0.27 oder neuer aktualisieren.
CVSS: 7.5 Publiziert: Referenz: NVD -
Python Liquid: Fehlerbehandlung bei fehlerhaftem case-Tag
CVE-2026-55865 MittelPython Liquid ist eine Python-Engine für die Template-Sprache Liquid. Vor Version 2.2.1 tritt bei einem fehlerhaften case-Tag ohne zugehörigen when- oder else-Block und ohne abschliessendes endcase-Tag ein Fehler auf. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Aktualisierung auf Python Liquid 2.2.1 oder neuer.
EPSS: 0.45% Publiziert: Referenz: NVD -
Tautulli: Remote Code Execution über benutzerdefinierte Newsletter-Templates
CVE-2026-41065 MittelTautulli, ein Python-basiertes Monitoring- und Tracking-Werkzeug für Plex Media Server, ist in Versionen vor 2.17.1 über die Funktion für ein benutzerdefiniertes Newsletter-Template-Verzeichnis anfällig für Remote Code Execution. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.
EPSS: 0.38% Publiziert: Referenz: NVD -
Grist vor 1.7.15: Zwei Cross-Site-Scripting-Schwachstellen
CVE-2026-55665 MittelGrist ist eine Tabellenkalkulations-Software, die Python als Formelsprache nutzt. Vor Version 1.7.15 enthielt Grist zwei Cross-Site-Scripting-Schwachstellen, bei denen ein vom Angreifer kontrollierter Wert in das href-Attribut eines Links gelangt. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 1.7.15 oder neuer aktualisieren.
EPSS: 0.32% Publiziert: Referenz: NVD -
Python setuptools: Fehlerhafte MANIFEST.in-Verarbeitung in FileList (< 83.0.0)
CVE-2026-59890 Mittelsetuptools ist ein Paket zum Herunterladen, Bauen, Installieren, Aktualisieren und Deinstallieren von Python-Paketen. Vor Version 83.0.0 wendete FileList die MANIFEST.in-Regeln exclude, global-exclude und recursive-exclude fehlerhaft an. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf setuptools 83.0.0 aktualisieren.
CVSS: 6.1 EPSS: 0.27% Publiziert: Referenz: NVD -
Python Zeep: forbid_external wird bei WSDL/XSD-Verarbeitung nicht erzwungen
CVE-2026-58501 MittelZeep ist ein SOAP-Client für Python. In den Versionen ab 4.0.0 bis vor 4.3.3 ist Settings.forbid_external zwar definiert, wird beim Parsen von WSDL- oder XSD-Dokumenten aber nicht durchgesetzt, wodurch transitive xsd:import-, xsd:include- und wsdl:import-Verweise zugelassen werden. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf Zeep 4.3.3 oder neuer.
CVSS: 5.9 EPSS: 0.25% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Python, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.