Python Seite 2
Schwachstellen-Reports
65 ReportsZeige 51 bis 65 von 65
-
Python tarfile – Filter-Parameter bei Hardlink-Extraktion nicht angewandt
CVE-2026-4360 MittelIn der Funktion Tarfile.extract() von Python wird der filter-Parameter beim Extrahieren von Hardlinks nicht korrekt weitergereicht. Ein System, das Inhalte aus nicht vertrauenswürdigen tar-Dateien extrahiert, könnte dadurch Dateien an unbeabsichtigte Orte schreiben. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 5.3 EPSS: 0.24% Publiziert: Referenz: NVD -
Python Pillow – Command Injection in WindowsViewer.get_command()
CVE-2026-55798 MittelIn der Python-Bildbibliothek Pillow vor Version 12.3.0 baut WindowsViewer.get_command() einen cmd.exe-Shell-Befehl zusammen, indem ein Dateipfad ohne Escaping direkt in einen f-String eingebettet und übergeben wird. CVSS-Basiswert: 4.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.
CVSS: 4.5 EPSS: 0.14% Publiziert: Referenz: NVD -
AIOHTTP – CookieJar.load() ermöglicht Remote Code Execution
CVE-2026-34993 MittelIn AIOHTTP, dem asynchronen HTTP-Client/Server-Framework für asyncio und Python, kann die Verwendung von CookieJar.load() mit nicht vertrauenswürdigen Eingaben vor Version 3.14.0 zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 6.4 (Mittel).
CVSS: 6.4 EPSS: 0.07% Publiziert: Referenz: NVD -
Tautulli – Path-Traversal im Cache-Lösch-Endpunkt
CVE-2026-40605 MittelTautulli ist ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server. In Versionen vor 2.17.1 ermöglicht eine Path-Traversal-Schwachstelle im Endpunkt zum Löschen des Caches einem authentifizierten Zugriff über die API einen in den Quelldaten nicht näher ausgeführten Dateizugriff. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.
EPSS: 0.04% Publiziert: Referenz: NVD -
CVE-2026-45409 – Schwachstelle in der IDNA-Bibliothek (Python)
CVE-2026-45409 MittelDie Bibliothek „Internationalized Domain Names in Applications" (IDNA) für Python bietet Unterstützung für internationalisierte Domainnamen und die Unicode-IDNA-Kompatibilitätsverarbeitung. In den betroffenen Versionen besteht in dieser Verarbeitung eine Schwachstelle. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
EPSS: 0.01% Publiziert: Referenz: NVD -
Schwachstelle beim Laden von McIdas-AREA-Bildern in Pillow (CVE-2026-54058)
CVE-2026-54058 MittelPillow, eine Bildbibliothek für Python, verarbeitet vor Version 12.3.0 beim Laden eines unkomprimierten McIdas-AREA-Bilds über den mmap-Raw-Codec-Pfad angreiferkontrollierte Header-Werte. Für diese Schwachstelle liegen in den Quelldaten kein CVSS- und kein EPSS-Wert vor; der Schweregrad wird mangels Kennzahlen mit Mittel eingestuft. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.
Publiziert: Referenz: NVD -
Pillow – Pufferüberlauf im TGA-RLE-Encoder
CVE-2026-59198 MittelPillow ist eine Python-Bildbibliothek. Von Version 5.2.0 bis vor 12.3.0 liest der TGA-RLE-Encoder beim Speichern eines Mode-1-Bildes mit TGA-RLE-Kompression über den gepackten Zeilenpuffer hinaus und kann so angrenzenden Prozess-Heap auslesen. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.
CVSS: 6.5 Publiziert: Referenz: NVD -
Python Pillow: negativer Byte-Count im EPS-Parser
CVE-2026-59203 MittelIn der Python-Bibliothek Pillow (12.0.0 bis 12.2.0) akzeptiert der EPS-Parser in PIL/EpsImagePlugin.py einen negativen Byte-Count in der Direktive %%BeginBinary. Eine präparierte EPS-Datei kann dies ausnutzen. CVSS-Basiswert: 5.3 (Mittel). Empfohlene Massnahme: auf eine korrigierte Pillow-Version aktualisieren.
CVSS: 5.3 Publiziert: Referenz: NVD -
Fehlerhafte Breitenberechnung im JPEG2000-Decoder von Pillow (CVE-2026-59204)
CVE-2026-59204 MittelPillow ist eine Python-Bibliothek zur Bildverarbeitung. In den Versionen 8.2.0 bis 12.2.0 summiert src/libImaging/Jpeg2KDecode.c die total_component_width über alle Kacheln eines JPEG2000-Bildes auf, statt sie pro Kachel neu zu berechnen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: Pillow auf eine korrigierte Version aktualisieren, sobald verfügbar.
Publiziert: Referenz: NVD -
NiceGUI – Directory-Traversal über statische Asset-Routen
CVE-2026-45554 MittelIm Python-basierten UI-Framework NiceGUI akzeptieren vor Version 3.12.0 zwei FastAPI-Routen, die komponentenbezogene statische Assets ausliefern, einen Unterpfad-Parameter, der zu einem Verzeichnis statt einer Datei aufgelöst werden kann. Dies kann zu unbeabsichtigten Informationsoffenlegungen führen. CVSS-Basiswert: 5.3 (Mittel).
CVSS: 5.3 Publiziert: Referenz: NVD -
python-multipart: Fehlende Content-Length-Validierung im Multipart-Parser
CVE-2026-53540 NiedrigPython-Multipart ist ein Streaming-Multipart-Parser für Python. In Versionen vor 0.0.31 validierte parse_form() den Content-Length-Header nicht, bevor er zur Begrenzung des chunked Reads des Request-Bodys verwendet wurde. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf python-multipart 0.0.31 oder neuer aktualisieren.
CVSS: 3.7 EPSS: 0.22% Publiziert: Referenz: NVD -
python-multipart: Fehlerhaftes Parsen von Content-Disposition-Headern
CVE-2026-53537 Niedrigpython-multipart, ein Streaming-Multipart-Parser für Python, parste vor Version 0.0.30 Content-Disposition- (und Content-Type-)Header mit email.message.Message, das solche Header transparent verarbeitet und dadurch fehlerhaft interpretieren konnte. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: python-multipart auf 0.0.30 oder neuer aktualisieren.
CVSS: 3.7 EPSS: 0.18% Publiziert: Referenz: NVD -
Python-Multipart: Fehlerhafte Feldtrennung im QuerystringParser
CVE-2026-53538 NiedrigPython-Multipart ist ein Streaming-Multipart-Parser für Python. Vor Version 0.0.30 behandelte der QuerystringParser in application/x-www-form-urlencoded-Bodies das Semikolon (;) zusätzlich zum kaufmännischen Und (&) als Feldtrenner, abweichend vom WHATWG-Standard. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Python-Multipart 0.0.30 oder neuer aktualisieren.
CVSS: 3.7 EPSS: 0.18% Publiziert: Referenz: NVD -
Sicherheitslücke im Inference HTTP Endpoint von SGLang
CVE-2026-10300 NiedrigIn SGLang 0.5.10.post1 wurde eine Sicherheitslücke in einer Funktion der Datei python/sglang/srt/lora/lora_manager.py im Inference HTTP Endpoint gemeldet. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 3.7 EPSS: 0.05% Publiziert: Referenz: NVD -
onnx-mlir: Schwachstelle in generate_hash_key des Torch-Backends
CVE-2026-11329 NiedrigIn onnx onnx-mlir bis Version 0.5.0.0 wurde eine Schwachstelle in der Funktion generate_hash_key der Datei src/Runtime/python/torch_onnxmlir/src/torch_onnxmlir/backend.py gefunden. CVSS-Basiswert: 3.6 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.
CVSS: 3.6 EPSS: 0.01% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Python, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.