1.5
Server-Software, Middleware, Web

Python Seite 2

Server-Software, Middleware, Web
65
Reports
0
Aktiv ausgenutzt
Kritisch
Höchste Priorität
52.1%
Max. EPSS

Schwachstellen-Reports

65 Reports

Zeige 51 bis 65 von 65

  1. Python tarfile – Filter-Parameter bei Hardlink-Extraktion nicht angewandt

    CVE-2026-4360 Mittel

    In der Funktion Tarfile.extract() von Python wird der filter-Parameter beim Extrahieren von Hardlinks nicht korrekt weitergereicht. Ein System, das Inhalte aus nicht vertrauenswürdigen tar-Dateien extrahiert, könnte dadurch Dateien an unbeabsichtigte Orte schreiben. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 5.3 EPSS: 0.24% Publiziert: Referenz: NVD
  2. Python Pillow – Command Injection in WindowsViewer.get_command()

    CVE-2026-55798 Mittel

    In der Python-Bildbibliothek Pillow vor Version 12.3.0 baut WindowsViewer.get_command() einen cmd.exe-Shell-Befehl zusammen, indem ein Dateipfad ohne Escaping direkt in einen f-String eingebettet und übergeben wird. CVSS-Basiswert: 4.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

    CVSS: 4.5 EPSS: 0.14% Publiziert: Referenz: NVD
  3. AIOHTTP – CookieJar.load() ermöglicht Remote Code Execution

    CVE-2026-34993 Mittel

    In AIOHTTP, dem asynchronen HTTP-Client/Server-Framework für asyncio und Python, kann die Verwendung von CookieJar.load() mit nicht vertrauenswürdigen Eingaben vor Version 3.14.0 zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 6.4 (Mittel).

    CVSS: 6.4 EPSS: 0.07% Publiziert: Referenz: NVD
  4. Tautulli – Path-Traversal im Cache-Lösch-Endpunkt

    CVE-2026-40605 Mittel

    Tautulli ist ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server. In Versionen vor 2.17.1 ermöglicht eine Path-Traversal-Schwachstelle im Endpunkt zum Löschen des Caches einem authentifizierten Zugriff über die API einen in den Quelldaten nicht näher ausgeführten Dateizugriff. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.

    EPSS: 0.04% Publiziert: Referenz: NVD
  5. CVE-2026-45409 – Schwachstelle in der IDNA-Bibliothek (Python)

    CVE-2026-45409 Mittel

    Die Bibliothek „Internationalized Domain Names in Applications" (IDNA) für Python bietet Unterstützung für internationalisierte Domainnamen und die Unicode-IDNA-Kompatibilitätsverarbeitung. In den betroffenen Versionen besteht in dieser Verarbeitung eine Schwachstelle. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    EPSS: 0.01% Publiziert: Referenz: NVD
  6. Schwachstelle beim Laden von McIdas-AREA-Bildern in Pillow (CVE-2026-54058)

    CVE-2026-54058 Mittel

    Pillow, eine Bildbibliothek für Python, verarbeitet vor Version 12.3.0 beim Laden eines unkomprimierten McIdas-AREA-Bilds über den mmap-Raw-Codec-Pfad angreiferkontrollierte Header-Werte. Für diese Schwachstelle liegen in den Quelldaten kein CVSS- und kein EPSS-Wert vor; der Schweregrad wird mangels Kennzahlen mit Mittel eingestuft. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

    Publiziert: Referenz: NVD
  7. Pillow – Pufferüberlauf im TGA-RLE-Encoder

    CVE-2026-59198 Mittel

    Pillow ist eine Python-Bildbibliothek. Von Version 5.2.0 bis vor 12.3.0 liest der TGA-RLE-Encoder beim Speichern eines Mode-1-Bildes mit TGA-RLE-Kompression über den gepackten Zeilenpuffer hinaus und kann so angrenzenden Prozess-Heap auslesen. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

    CVSS: 6.5 Publiziert: Referenz: NVD
  8. Python Pillow: negativer Byte-Count im EPS-Parser

    CVE-2026-59203 Mittel

    In der Python-Bibliothek Pillow (12.0.0 bis 12.2.0) akzeptiert der EPS-Parser in PIL/EpsImagePlugin.py einen negativen Byte-Count in der Direktive %%BeginBinary. Eine präparierte EPS-Datei kann dies ausnutzen. CVSS-Basiswert: 5.3 (Mittel). Empfohlene Massnahme: auf eine korrigierte Pillow-Version aktualisieren.

    CVSS: 5.3 Publiziert: Referenz: NVD
  9. Fehlerhafte Breitenberechnung im JPEG2000-Decoder von Pillow (CVE-2026-59204)

    CVE-2026-59204 Mittel

    Pillow ist eine Python-Bibliothek zur Bildverarbeitung. In den Versionen 8.2.0 bis 12.2.0 summiert src/libImaging/Jpeg2KDecode.c die total_component_width über alle Kacheln eines JPEG2000-Bildes auf, statt sie pro Kachel neu zu berechnen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: Pillow auf eine korrigierte Version aktualisieren, sobald verfügbar.

    Publiziert: Referenz: NVD
  10. NiceGUI – Directory-Traversal über statische Asset-Routen

    CVE-2026-45554 Mittel

    Im Python-basierten UI-Framework NiceGUI akzeptieren vor Version 3.12.0 zwei FastAPI-Routen, die komponentenbezogene statische Assets ausliefern, einen Unterpfad-Parameter, der zu einem Verzeichnis statt einer Datei aufgelöst werden kann. Dies kann zu unbeabsichtigten Informationsoffenlegungen führen. CVSS-Basiswert: 5.3 (Mittel).

    CVSS: 5.3 Publiziert: Referenz: NVD
  11. python-multipart: Fehlende Content-Length-Validierung im Multipart-Parser

    CVE-2026-53540 Niedrig

    Python-Multipart ist ein Streaming-Multipart-Parser für Python. In Versionen vor 0.0.31 validierte parse_form() den Content-Length-Header nicht, bevor er zur Begrenzung des chunked Reads des Request-Bodys verwendet wurde. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf python-multipart 0.0.31 oder neuer aktualisieren.

    CVSS: 3.7 EPSS: 0.22% Publiziert: Referenz: NVD
  12. python-multipart: Fehlerhaftes Parsen von Content-Disposition-Headern

    CVE-2026-53537 Niedrig

    python-multipart, ein Streaming-Multipart-Parser für Python, parste vor Version 0.0.30 Content-Disposition- (und Content-Type-)Header mit email.message.Message, das solche Header transparent verarbeitet und dadurch fehlerhaft interpretieren konnte. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: python-multipart auf 0.0.30 oder neuer aktualisieren.

    CVSS: 3.7 EPSS: 0.18% Publiziert: Referenz: NVD
  13. Python-Multipart: Fehlerhafte Feldtrennung im QuerystringParser

    CVE-2026-53538 Niedrig

    Python-Multipart ist ein Streaming-Multipart-Parser für Python. Vor Version 0.0.30 behandelte der QuerystringParser in application/x-www-form-urlencoded-Bodies das Semikolon (;) zusätzlich zum kaufmännischen Und (&) als Feldtrenner, abweichend vom WHATWG-Standard. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Python-Multipart 0.0.30 oder neuer aktualisieren.

    CVSS: 3.7 EPSS: 0.18% Publiziert: Referenz: NVD
  14. Sicherheitslücke im Inference HTTP Endpoint von SGLang

    CVE-2026-10300 Niedrig

    In SGLang 0.5.10.post1 wurde eine Sicherheitslücke in einer Funktion der Datei python/sglang/srt/lora/lora_manager.py im Inference HTTP Endpoint gemeldet. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 3.7 EPSS: 0.05% Publiziert: Referenz: NVD
  15. onnx-mlir: Schwachstelle in generate_hash_key des Torch-Backends

    CVE-2026-11329 Niedrig

    In onnx onnx-mlir bis Version 0.5.0.0 wurde eine Schwachstelle in der Funktion generate_hash_key der Datei src/Runtime/python/torch_onnxmlir/src/torch_onnxmlir/backend.py gefunden. CVSS-Basiswert: 3.6 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 3.6 EPSS: 0.01% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Python, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog