<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Python</title>
    <link>https://feed.xonatec.ch/produkte/python</link>
    <description>Priorisierte Schwachstellen-Reports für Python. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/python.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>CVE-2026-47103 — Python StateMachine: Remote Code Execution über manipulierte SCXML-Dokumente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47103</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47103</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Python StateMachine in den Versionen ab 3.0.0 und vor 3.2.0 enthält eine Schwachstelle, die Remote Code Execution ermöglicht. Angreifer können laut NVD beliebigen Code ausführen, indem sie manipulierte SCXML-Dokumente einschleusen. Die Lücke ist gemäss CVSS-Vektor ohne Authentifizierung und ohne Benutzerinteraktion über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 1.2%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-56315 — picklescan: mehrere Python-Standardbibliotheksmodule werden nicht blockiert</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-56315</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-56315</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>picklescan blockiert vor Version 1.0.4 mindestens sieben Module der Python-Standardbibliothek nicht, darunter uuid, _osx_support, _aix_support, _pyrepl.pager und imaplib. Über diese Module bleiben acht Funktionen erreichbar, die entsprechende Aufrufmöglichkeiten bereitstellen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: auf Version 1.0.4 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.8%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-33646 — mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33646</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33646</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.7%

Betroffene Produkte: node-js, python, hashicorp-vault-terraform-consul</description>
      <category>Kritisch</category><category>Node.js</category><category>Python</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-61447 — PraisonAI: Remote Code Execution in CodeAgent._execute_python()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-61447</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-61447</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>PraisonAI vor Version 1.6.78 führt laut NVD in CodeAgent._execute_python() von einem Sprachmodell erzeugten Python-Code aus, ohne AST-Validierung, Import-Beschränkungen oder Sandbox-Umgebung. Daraus ergibt sich eine Schwachstelle zur Codeausführung aus der Ferne. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf PraisonAI 1.6.78 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.5%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-49257 — mcp-pinot – MCP-Server ohne Authentifizierung an 0.0.0.0:8080 gebunden</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49257</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49257</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>mcp-pinot ist ein Python-basierter Model-Context-Protocol-Server (MCP) für den Zugriff auf Apache Pinot. In Version 3.0.1 und älter startet mcp-pinot standardmässig einen HTTP-MCP-Server, der an 0.0.0.0:8080 gebunden wird und damit auf allen Netzwerkschnittstellen erreichbar ist. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.0.1 aktualisieren und den Dienst nur an localhost oder ein vertrauenswürdiges Interface binden.

Severity: Kritisch · CVSS: 10 · EPSS: 0.5%

Betroffene Produkte: python, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Python</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-11393 — AgentCore CLI: Code-Ausführung durch unzureichende Neutralisierung von Triple-Quotes</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11393</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11393</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In AgentCore CLI vor Version 0.14.2 werden Triple-Quote-Zeichen bei der Python-Code-Generierung unzureichend neutralisiert. Ein authentifizierter, entfernter Angreifer könnte dadurch beliebigen Code ausführen. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 0.14.2 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9 · EPSS: 0.3%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-15062 — Snowflake Snowpark Python SDK: SQL-Injection ermöglicht Rechteausweitung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15062</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15062</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Snowflake Snowpark Python SDK (snowpark-python) vor Version 1.53.0 bestehen SQL-Injection-Schwachstellen. Authentifizierte Benutzer mit niedrigen Rechten können dadurch SQL-Anweisungen ausserhalb ihres Berechtigungsrahmens ausführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: snowpark-python auf Version 1.53.0 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.3%

Betroffene Produkte: snowflake-databricks, python</description>
      <category>Kritisch</category><category>Snowflake/Databricks</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-31900 — Black GitHub Action – unsichere Versionsauflösung via use_pyproject</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-31900</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-31900</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Der Python-Code-Formatierer Black stellt eine GitHub Action bereit, die mit der Option use_pyproject: true die zu verwendende Black-Version aus der Projektkonfiguration liest. In dieser Funktion besteht eine Sicherheitslücke, die in der Schwere als kritisch eingestuft wurde. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-7210 — Python xml.parsers.expat / xml.etree.ElementTree – Hash-Flooding durch unzureichende Entropie</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7210</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7210</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Python werden die Module `xml.parsers.expat` und `xml.etree.ElementTree` mit unzureichender Entropie für den Expat-Hash-Flooding-Schutz betrieben. Ein speziell präpariertes XML-Dokument kann dadurch einen Hash-Flooding-Angriff auslösen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-45758 — guardrails-ai: Schadhafte Paketversion 0.10.1 auf PyPI veröffentlicht</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45758</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45758</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Guardrails AI ist ein Python-Framework für den Bau von KI-Anwendungen. Am 11. Mai 2026 gegen 18:00 Uhr Pacific Time veröffentlichte ein Angreifer eine schadhafte Version des Pakets guardrails-ai (0.10.1) auf PyPI. Es handelt sich damit um einen Supply-Chain-Vorfall in der Paketverteilung, nicht um eine Schwachstelle im regulären Code. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-43986 — Tautulli: öffentliche /image/&lt;hash&gt;-Route löst angreiferkontrollierte Einträge auf</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-43986</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-43986</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Tautulli ist ein in Python geschriebenes Monitoring- und Tracking-Werkzeug für den Plex Media Server. In Versionen vor 2.17.1 stellt die Anwendung eine öffentlich erreichbare Route /image/&lt;hash&gt; bereit, die angreiferkontrollierte Einträge aus dem Image-Hash-Speicher auflöst. CVSS-Basiswert: 9.9 (Kritisch) bei netzbasiertem Angriffsvektor mit nur geringen Rechten und ohne Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2025-13462 — Python tarfile: fehlerhafte Normalisierung von AREGTYPE-Blöcken bei Multi-Block-Membern</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-13462</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-13462</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Python-Modul tarfile normalisiert AREGTYPE-Blöcke (\x00) weiterhin zu DIRTYPE, auch während der Verarbeitung eines Multi-Block-Members wie GNUTYPE_LONGNAME oder GNUTYPE_LONGLINK. Daraus kann sich laut Quelle eine fehlerhafte Interpretation des Archivinhalts ergeben. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Python-Updates des Herstellers einspielen, sobald verfügbar.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Kritisch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2018-25032 — zlib – Speicherbeschädigung beim Komprimieren (deflate) vor Version 1.2.12</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-25032</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-25032</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Kompressionsbibliothek zlib besteht vor Version 1.2.12 eine Schwachstelle, die beim Komprimieren (deflate) zu Speicherbeschädigung führen kann, wenn die Eingabe viele weit entfernte Übereinstimmungen (distant matches) enthält. Betroffen sind zahlreiche Produkte und Distributionen, die zlib einbetten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 52.1 %. Empfohlene Massnahme: auf zlib 1.2.12 oder eine vom jeweiligen Hersteller bereitgestellte korrigierte Version aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 52.1%

Betroffene Produkte: zimbra, python, microsoft-windows, debian-dsa, amazon-linux-alas, oracle-linux-elsa, rocky-linux, fedora, apple-macos-ios, mysql-mariadb, netapp, rockwell-automation, node-js, siemens-healthineers, siemens-productcert</description>
      <category>Hoch</category><category>Synacor / Zimbra</category><category>Python</category><category>Microsoft Windows</category><category>Debian (DSA)</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Fedora</category><category>Apple (macOS/iOS)</category><category>MySQL/MariaDB</category><category>NetApp</category><category>Rockwell Automation</category><category>Node.js</category><category>Siemens Healthineers</category><category>Siemens ProductCERT</category>
    </item>
    <item>
      <title>CVE-2026-15308 — Python html.parser – CPU-Denial-of-Service durch unbeendete Markup-Deklarationen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15308</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15308</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der inkrementelle HTML-Parser von Python (html.parser.HTMLParser) ermöglicht einen CPU-seitigen Denial of Service, wenn beim Verarbeiten nicht kontrollierter Daten wiederholt unbeendete Markup-Deklarationen auftreten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: verfügbare Python-Sicherheitsupdates einspielen.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.6%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-10143 — kafka-python – Denial of Service bei der SCRAM-Authentifizierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10143</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10143</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>kafka-python vor 2.3.2 enthält eine Denial-of-Service-Schwachstelle in der Verarbeitung der SCRAM-Authentifizierung, über die ein bösartiger oder zwischengeschalteter Broker (Machine-in-the-Middle) die Ereignisschleife des Clients einfrieren kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Aktualisierung auf kafka-python 2.3.2 oder neuer.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.5%

Betroffene Produkte: rabbitmq-kafka, python</description>
      <category>Hoch</category><category>RabbitMQ/Kafka</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2025-69534 — Denial-of-Service durch fehlerhafte HTML-Sequenzen in Python-Markdown</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-69534</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-69534</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Python-Markdown Version 3.8 enthält eine Schwachstelle, bei der fehlerhafte HTML-ähnliche Sequenzen während des Markdown-Parsings einen unbehandelten AssertionError im HTMLParser auslösen können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-55379 — Pillow (Python): Angreiferkontrollierte Bilddimensionen beim Parsen von BDF-Schriften</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55379</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55379</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Pillow ist eine Python-Bildbibliothek. Vor Version 12.3.0 las PIL/BdfFontFile.py in bdf_char() die BBX-Breite und -Höhe aus einer BDF-Schriftdatei und übergab die angreiferkontrollierten Dimensionen an Image.new(). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf Version 12.3.0.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-54060 — Python Pillow: Fehler beim Zusammensetzen von Glyphen-Bitmaps in FontFile.compile()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54060</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54060</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Python-Bildbibliothek Pillow vor Version 12.3.0 setzt PIL/FontFile.py in FontFile.compile() einzelne Glyphen-Bilder zu einer kombinierten Bitmap zusammen, ohne die notwendige Prüfung durchzuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-55380 — Python Pillow: Ungeprüfte Bildabmessungen in GdImageFile ermöglichen Denial of Service</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55380</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55380</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Python-Bildbibliothek Pillow vor 12.3.0 liest PIL/GdImageFile.py in GdImageFile._open() die Bildabmessungen aus dem GD-2.x-Header und speichert sie in self._size, ohne eine Dekompressionsprüfung durchzuführen. Dies kann die Verfügbarkeit beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-54059 — Python Pillow: Ungeprüfte Glyph-Abmessungen in PcfFontFile ermöglichen Denial of Service</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54059</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54059</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Python-Bildbibliothek Pillow vor 12.3.0 liest PIL/PcfFontFile.py in _load_bitmaps() die Glyph-Abmessungen aus der PCF-METRICS-Sektion und übergibt sie direkt an Image.frombytes(), ohne eine Dekompressionsprüfung durchzuführen. Dies kann die Verfügbarkeit beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-10142 — kafka-python: Denial of Service im Protokoll-Parser</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10142</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10142</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>kafka-python vor Version 2.3.2 enthält eine Denial-of-Service-Schwachstelle im Protokoll-Parser. Ein bösartiger Broker oder ein Machine-in-the-Middle-Angreifer kann dadurch Speicher erschöpfen oder Verbindungen aufhängen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: kafka-python auf Version 2.3.2 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.3%

Betroffene Produkte: rabbitmq-kafka, python</description>
      <category>Hoch</category><category>RabbitMQ/Kafka</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-53539 — Python-Multipart – fehlerhafte Trennzeichensuche beim Parsen von x-www-form-urlencoded</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53539</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53539</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Python-Multipart ist ein Streaming-Multipart-Parser für Python. In Versionen vor 0.0.30 lokalisierte der QuerystringParser beim Parsen von application/x-www-form-urlencoded-Bodies das Feldtrennzeichen über eine zweistufige Suche, was ausgenutzt werden konnte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 0.0.30 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.3%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-3087 — shutil.unpack_archive() – Path-Traversal bei absoluten Windows-Pfaden</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3087</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3087</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Python&apos;s shutil.unpack_archive() besteht eine Path-Traversal-Schwachstelle: Wird ein ZIP-Archiv mit einem absoluten Windows-Pfad inklusive Laufwerksbuchstaben (z. B. C:\...) entpackt, erfolgt die Extraktion ausserhalb des Zielverzeichnisses. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: python, microsoft-windows</description>
      <category>Hoch</category><category>Python</category><category>Microsoft Windows</category>
    </item>
    <item>
      <title>CVE-2026-45017 — Python Liquid – Path-Traversal im FileSystemLoader</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45017</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45017</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Python-Engine für die Liquid-Template-Sprache schützt vor Version 2.2.0 in den eingebauten Loadern FileSystemLoader und CachingFileSystemLoader nicht gegen das Lesen von Dateien ausserhalb des konfigurierten Suchpfads. Dies ermöglicht einen Path-Traversal-Angriff. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-4224 — Expat (libexpat) – Stack-Überlauf bei tief verschachteltem Content-Modell</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4224</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4224</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Wenn ein Expat-Parser mit registriertem ElementDeclHandler eine Inline-Dokumenttypdefinition (DTD) mit einem tief verschachtelten Content-Modell verarbeitet, kommt es zu einem C-Stack-Überlauf. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: verfügbare Sicherheitsupdates einspielen.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-43003 — OpenStack ironic-python-agent: Unsichere grub-install-Ausführung in Chroot</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-43003</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-43003</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In OpenStack ironic-python-agent (IPA) von Version 1.0.0 bis 11.5.0 wird grub-install in bestimmten Fällen innerhalb eines Chroots des bereitgestellten Partition-Images ausgeführt, was zu unbeabsichtigter Codeausführung führen kann. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8 · EPSS: 0.0%

Betroffene Produkte: openstack, python</description>
      <category>Hoch</category><category>OpenStack</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-3644 — Python http.cookies: Unvollständiger Fix für Steuerzeichen in Morsel</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3644</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3644</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Fix für CVE-2026-0672, der Steuerzeichen in http.cookies.Morsel zurückwies, war unvollständig: Die Pfade Morsel.update(), der |=-Operator sowie das Unpickling wurden nicht gepatcht, sodass weiterhin Steuerzeichen eingeschleust werden konnten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-43984 — Tautulli – log_js_errors für authentifizierte Benutzer zugänglich</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-43984</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-43984</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Tautulli, ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server, macht in Versionen vor 2.17.1 die Funktion log_js_errors für jeden authentifizierten Benutzer zugänglich – einschliesslich Gastbenutzern, wenn der Gastzugang aktiviert ist. CVSS-Basiswert: 8.9 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Version 2.17.1 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.9 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-32274 — Black – unsicherer Cache-Dateiname via --python-cell-magics</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-32274</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-32274</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Python-Code-Formatierer Black (vor Version 26.3.1) wird der Name der Cache-Datei aus verschiedenen Formatierungsoptionen berechnet. Der Wert der Option --python-cell-magics fliesst dabei unkontrolliert ein, was zu einer Sicherheitslücke führt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-43985 — Fehlende Zugriffskontrolle im configUpdate-Endpunkt von Tautulli</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-43985</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-43985</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Tautulli, ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server, stellt in Versionen vor 2.17.1 den zustandsändernden Administrator-Endpunkt configUpdate bereit, ohne dass die Route eine ausreichende Zugriffskontrolle erzwingt. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-42311 — Pillow – Speicherfehler beim Verarbeiten schadhafter PSD-Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42311</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42311</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Python-Bildbibliothek Pillow kann die Verarbeitung einer schadhaften PSD-Datei in den Versionen 10.3.0 bis vor 12.2.0 zu Speicherkorruption führen, was potenziell einen Absturz oder die Ausführung beliebigen Codes zur Folge haben kann. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-5271 — pymanager – unsicheres sys.path ermöglicht Modul-Shadowing</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5271</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5271</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>pymanager fügt das aktuelle Arbeitsverzeichnis in sys.path ein, wodurch Module durch gleichnamige Module im Arbeitsverzeichnis überlagert werden können. Führt ein Benutzer einen von pymanager erzeugten Befehl aus, können so lokale, möglicherweise schadhafte Module anstelle der legitimen Bibliotheken geladen werden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-44432 — urllib3 – unkontrollierte vollständige Dekomprimierung bei teilweisem Lesen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44432</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44432</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Python-HTTP-Client-Bibliothek urllib3 kann in den Versionen 2.6.0 bis vor 2.7.0 beim zweiten Aufruf von HTTPResponse.read(amt=N) die gesamte Antwort statt nur des angeforderten Teils dekomprimiert werden. Dies kann zu übermässigem Ressourcenverbrauch führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-40192 — Pillow – Decompression-Bomb-Angriff beim Dekodieren von FITS-Bildern</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40192</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40192</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Python-Bildbibliothek Pillow begrenzt in den Versionen 10.3.0 bis 12.1.1 die Menge der beim Dekodieren von FITS-Bildern gelesenen GZIP-komprimierten Daten nicht. Dies macht sie anfällig für Decompression-Bomb-Angriffe (übermässiger Speicherverbrauch). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-47265 — AIOHTTP – Cookie-Weitergabe bei Cross-Origin-Weiterleitungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47265</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47265</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In AIOHTTP vor Version 3.14.0 werden Cookies, die über den cookies-Parameter einer Anfrage gesetzt wurden, nach Cross-Origin-Weiterleitungen weiterhin mitgesendet. Dies kann zur unbeabsichtigten Übermittlung von Sitzungscookies an Drittanbieter-Server führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Aktualisierung auf AIOHTTP 3.14.0 oder neuer.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-25990 — Out-of-Bounds Write beim Laden von PSD-Dateien in Pillow</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-25990</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-25990</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Python-Bildbibliothek Pillow (Versionen 10.3.0 bis vor 12.1.1) kann das Laden eines speziell präparierten PSD-Bildes einen Out-of-Bounds-Schreibzugriff auslösen. Das Problem wurde in Version 12.1.1 behoben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59197 — Python Pillow – Heap-Überlauf in RankFilter (Bildbibliothek)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59197</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59197</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Python-Bildbibliothek Pillow vor Version 12.3.0 kann über die öffentliche Rank-Filter-API einen nativen Heap-Schreibzugriff ausserhalb der Grenzen auslösen, wenn eine sehr grosse ungerade Filtergrösse übergeben wird. Betroffen ist die Funktion ImageFilter.RankFilter. CVSS-Basiswert: 8.2 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Pillow 12.3.0 oder neuer einspielen.

Severity: Hoch · CVSS: 8.2

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59199 — Python Pillow – Heap-Out-of-bounds-Write über Bildkoordinaten-APIs</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59199</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59199</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Pillow ist eine Python-Bildverarbeitungsbibliothek. In Versionen vor 12.3.0 können öffentliche APIs für Bildkoordinaten einen nativen Heap-Schreibzugriff ausserhalb der Puffergrenzen auslösen, wenn Koordinaten nahe den Grenzen des vorzeichenbehafteten 32-Bit-Integers übergeben werden. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59200 — Python Pillow: unbegrenzte Dekompression im PDF-Parser</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59200</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59200</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Python-Bibliothek Pillow (5.1.0 bis vor 12.3.0) ruft PdfParser.PdfStream.decode() in PIL/PdfParser.py die Funktion zlib.decompress() mit einem aus dem PDF-Stream stammenden Length-Feld als bufsize auf, ohne diesen Wert zu begrenzen. Das kann zu übermässigem Ressourcenverbrauch führen. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf eine korrigierte Pillow-Version aktualisieren.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59205 — Python Pillow – Heap-Korruption in ImageCms-Transformation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59205</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59205</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Python-Bildbibliothek Pillow vor Version 12.3.0 kann über die API ImageCms.ImageCmsTransform.apply() eine kontrollierte native Heap-Korruption auslösen, wenn der Aufrufer ein Ausgabebild mit ungeeigneten Eigenschaften übergibt. CVSS-Basiswert: 7.5 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Pillow 12.3.0 oder neuer einspielen.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59884 — Denial of Service im BER-Decoder von pyasn1 (CVE-2026-59884)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59884</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59884</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>pyasn1, eine ASN.1-Bibliothek für Python, akkumuliert im gemeinsam von CER- und DER-Codecs genutzten BER-Decoder vor Version 0.6.4 die Fortsetzungsoktette von Long-Form-Tags ohne obere Grenze. CVSS-Basiswert: 7.5 (Hoch). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf pyasn1 0.6.4 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59885 — pyasn1 – quadratische Laufzeit beim Dekodieren von OBJECT IDENTIFIER (DoS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59885</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59885</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>pyasn1 ist eine generische ASN.1-Bibliothek für Python. Vor Version 0.6.4 verarbeiten die BER-, CER- und DER-Decoder OBJECT-IDENTIFIER- und RELATIVE-OID-Werte in quadratischer Zeit zur Anzahl der Bögen, sodass bereits eine kleine Eingabe hohe Last erzeugen kann. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: auf pyasn1 0.6.4 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59886 — Fehlerhafte Real-Verarbeitung in pyasn1 (Python) (CVE-2026-59886)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59886</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59886</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>pyasn1 ist eine generische ASN.1-Bibliothek für Python. In Versionen vor 0.6.4 wandelte der Typ univ.Real Mantisse, Basis und Exponent mittels exakter Big-Integer-Exponentiation in einen Python-Float um, was über manipulierte codierte Daten missbraucht werden kann. CVSS-Basiswert: 7.5 (Hoch). Der Angriff erfolgt über das Netzwerk ohne erforderliche Rechte. Empfohlene Massnahme: pyasn1 auf Version 0.6.4 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-45553 — NiceGUI – Server-seitige Dateieinbindung via ui.restructured_text()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45553</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45553</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Python-basierten UI-Framework NiceGUI rendert ui.restructured_text() vor Version 3.12.0 reStructuredText serverseitig mit Docutils, ohne Dateieinbindungs-Direktiven zu deaktivieren. Dies kann von Angreifern zur Einbindung beliebiger Serverdateien missbraucht werden. CVSS-Basiswert: 7.5 (Hoch).

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-42561 — python-multipart – Denial of Service beim Parsen von Multipart-Headern</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42561</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42561</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>python-multipart ist ein Streaming-Parser für Multipart-Daten in Python. In Versionen vor 0.0.27 besteht beim Parsen der Header eines Multipart-Teils eine Denial-of-Service-Schwachstelle, die beim Verarbeiten von multipart/form-data ausgelöst werden kann. CVSS-Basiswert: 7.5 (Hoch) – Angriff über das Netzwerk ohne Rechte und ohne Nutzerinteraktion, mit hoher Auswirkung auf die Verfügbarkeit. Empfohlene Massnahme: auf python-multipart 0.0.27 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: python</description>
      <category>Hoch</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-55865 — Python Liquid: Fehlerbehandlung bei fehlerhaftem case-Tag</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55865</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55865</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Python Liquid ist eine Python-Engine für die Template-Sprache Liquid. Vor Version 2.2.1 tritt bei einem fehlerhaften case-Tag ohne zugehörigen when- oder else-Block und ohne abschliessendes endcase-Tag ein Fehler auf. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Aktualisierung auf Python Liquid 2.2.1 oder neuer.

Severity: Mittel · EPSS: 0.5%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-41065 — Tautulli: Remote Code Execution über benutzerdefinierte Newsletter-Templates</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41065</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41065</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Tautulli, ein Python-basiertes Monitoring- und Tracking-Werkzeug für Plex Media Server, ist in Versionen vor 2.17.1 über die Funktion für ein benutzerdefiniertes Newsletter-Template-Verzeichnis anfällig für Remote Code Execution. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.

Severity: Mittel · EPSS: 0.4%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-55665 — Grist vor 1.7.15: Zwei Cross-Site-Scripting-Schwachstellen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55665</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55665</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Grist ist eine Tabellenkalkulations-Software, die Python als Formelsprache nutzt. Vor Version 1.7.15 enthielt Grist zwei Cross-Site-Scripting-Schwachstellen, bei denen ein vom Angreifer kontrollierter Wert in das href-Attribut eines Links gelangt. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 1.7.15 oder neuer aktualisieren.

Severity: Mittel · EPSS: 0.3%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59890 — Python setuptools: Fehlerhafte MANIFEST.in-Verarbeitung in FileList (&lt; 83.0.0)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59890</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59890</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>setuptools ist ein Paket zum Herunterladen, Bauen, Installieren, Aktualisieren und Deinstallieren von Python-Paketen. Vor Version 83.0.0 wendete FileList die MANIFEST.in-Regeln exclude, global-exclude und recursive-exclude fehlerhaft an. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf setuptools 83.0.0 aktualisieren.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.3%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-58501 — Python Zeep: forbid_external wird bei WSDL/XSD-Verarbeitung nicht erzwungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-58501</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-58501</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Zeep ist ein SOAP-Client für Python. In den Versionen ab 4.0.0 bis vor 4.3.3 ist Settings.forbid_external zwar definiert, wird beim Parsen von WSDL- oder XSD-Dokumenten aber nicht durchgesetzt, wodurch transitive xsd:import-, xsd:include- und wsdl:import-Verweise zugelassen werden. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf Zeep 4.3.3 oder neuer.

Severity: Mittel · CVSS: 5.9 · EPSS: 0.3%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-4360 — Python tarfile – Filter-Parameter bei Hardlink-Extraktion nicht angewandt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4360</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4360</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion Tarfile.extract() von Python wird der filter-Parameter beim Extrahieren von Hardlinks nicht korrekt weitergereicht. Ein System, das Inhalte aus nicht vertrauenswürdigen tar-Dateien extrahiert, könnte dadurch Dateien an unbeabsichtigte Orte schreiben. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.2%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-55798 — Python Pillow – Command Injection in WindowsViewer.get_command()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55798</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55798</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Python-Bildbibliothek Pillow vor Version 12.3.0 baut WindowsViewer.get_command() einen cmd.exe-Shell-Befehl zusammen, indem ein Dateipfad ohne Escaping direkt in einen f-String eingebettet und übergeben wird. CVSS-Basiswert: 4.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

Severity: Mittel · CVSS: 4.5 · EPSS: 0.1%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-34993 — AIOHTTP – CookieJar.load() ermöglicht Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34993</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34993</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In AIOHTTP, dem asynchronen HTTP-Client/Server-Framework für asyncio und Python, kann die Verwendung von CookieJar.load() mit nicht vertrauenswürdigen Eingaben vor Version 3.14.0 zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 6.4 (Mittel).

Severity: Mittel · CVSS: 6.4 · EPSS: 0.1%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-40605 — Tautulli – Path-Traversal im Cache-Lösch-Endpunkt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40605</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40605</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Tautulli ist ein Python-basiertes Überwachungs- und Tracking-Werkzeug für den Plex Media Server. In Versionen vor 2.17.1 ermöglicht eine Path-Traversal-Schwachstelle im Endpunkt zum Löschen des Caches einem authentifizierten Zugriff über die API einen in den Quelldaten nicht näher ausgeführten Dateizugriff. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf Tautulli 2.17.1 oder neuer aktualisieren.

Severity: Mittel · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-45409 — CVE-2026-45409 – Schwachstelle in der IDNA-Bibliothek (Python)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45409</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45409</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Bibliothek „Internationalized Domain Names in Applications&quot; (IDNA) für Python bietet Unterstützung für internationalisierte Domainnamen und die Unicode-IDNA-Kompatibilitätsverarbeitung. In den betroffenen Versionen besteht in dieser Verarbeitung eine Schwachstelle. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-54058 — Schwachstelle beim Laden von McIdas-AREA-Bildern in Pillow (CVE-2026-54058)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54058</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54058</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Pillow, eine Bildbibliothek für Python, verarbeitet vor Version 12.3.0 beim Laden eines unkomprimierten McIdas-AREA-Bilds über den mmap-Raw-Codec-Pfad angreiferkontrollierte Header-Werte. Für diese Schwachstelle liegen in den Quelldaten kein CVSS- und kein EPSS-Wert vor; der Schweregrad wird mangels Kennzahlen mit Mittel eingestuft. Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

Severity: Mittel

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59198 — Pillow – Pufferüberlauf im TGA-RLE-Encoder</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59198</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59198</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Pillow ist eine Python-Bildbibliothek. Von Version 5.2.0 bis vor 12.3.0 liest der TGA-RLE-Encoder beim Speichern eines Mode-1-Bildes mit TGA-RLE-Kompression über den gepackten Zeilenpuffer hinaus und kann so angrenzenden Prozess-Heap auslesen. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: auf Pillow 12.3.0 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6.5

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59203 — Python Pillow: negativer Byte-Count im EPS-Parser</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59203</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59203</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Python-Bibliothek Pillow (12.0.0 bis 12.2.0) akzeptiert der EPS-Parser in PIL/EpsImagePlugin.py einen negativen Byte-Count in der Direktive %%BeginBinary. Eine präparierte EPS-Datei kann dies ausnutzen. CVSS-Basiswert: 5.3 (Mittel). Empfohlene Massnahme: auf eine korrigierte Pillow-Version aktualisieren.

Severity: Mittel · CVSS: 5.3

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-59204 — Fehlerhafte Breitenberechnung im JPEG2000-Decoder von Pillow (CVE-2026-59204)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59204</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59204</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Pillow ist eine Python-Bibliothek zur Bildverarbeitung. In den Versionen 8.2.0 bis 12.2.0 summiert src/libImaging/Jpeg2KDecode.c die total_component_width über alle Kacheln eines JPEG2000-Bildes auf, statt sie pro Kachel neu zu berechnen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: Pillow auf eine korrigierte Version aktualisieren, sobald verfügbar.

Severity: Mittel

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-45554 — NiceGUI – Directory-Traversal über statische Asset-Routen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45554</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45554</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Python-basierten UI-Framework NiceGUI akzeptieren vor Version 3.12.0 zwei FastAPI-Routen, die komponentenbezogene statische Assets ausliefern, einen Unterpfad-Parameter, der zu einem Verzeichnis statt einer Datei aufgelöst werden kann. Dies kann zu unbeabsichtigten Informationsoffenlegungen führen. CVSS-Basiswert: 5.3 (Mittel).

Severity: Mittel · CVSS: 5.3

Betroffene Produkte: python</description>
      <category>Mittel</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-53540 — python-multipart: Fehlende Content-Length-Validierung im Multipart-Parser</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53540</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53540</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Python-Multipart ist ein Streaming-Multipart-Parser für Python. In Versionen vor 0.0.31 validierte parse_form() den Content-Length-Header nicht, bevor er zur Begrenzung des chunked Reads des Request-Bodys verwendet wurde. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf python-multipart 0.0.31 oder neuer aktualisieren.

Severity: Niedrig · CVSS: 3.7 · EPSS: 0.2%

Betroffene Produkte: python</description>
      <category>Niedrig</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-53537 — python-multipart: Fehlerhaftes Parsen von Content-Disposition-Headern</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53537</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53537</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>python-multipart, ein Streaming-Multipart-Parser für Python, parste vor Version 0.0.30 Content-Disposition- (und Content-Type-)Header mit email.message.Message, das solche Header transparent verarbeitet und dadurch fehlerhaft interpretieren konnte. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: python-multipart auf 0.0.30 oder neuer aktualisieren.

Severity: Niedrig · CVSS: 3.7 · EPSS: 0.2%

Betroffene Produkte: python</description>
      <category>Niedrig</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-53538 — Python-Multipart: Fehlerhafte Feldtrennung im QuerystringParser</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53538</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53538</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Python-Multipart ist ein Streaming-Multipart-Parser für Python. Vor Version 0.0.30 behandelte der QuerystringParser in application/x-www-form-urlencoded-Bodies das Semikolon (;) zusätzlich zum kaufmännischen Und (&amp;) als Feldtrenner, abweichend vom WHATWG-Standard. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Python-Multipart 0.0.30 oder neuer aktualisieren.

Severity: Niedrig · CVSS: 3.7 · EPSS: 0.2%

Betroffene Produkte: python</description>
      <category>Niedrig</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-10300 — Sicherheitslücke im Inference HTTP Endpoint von SGLang</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10300</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10300</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SGLang 0.5.10.post1 wurde eine Sicherheitslücke in einer Funktion der Datei python/sglang/srt/lora/lora_manager.py im Inference HTTP Endpoint gemeldet. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Niedrig · CVSS: 3.7 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Niedrig</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-11329 — onnx-mlir: Schwachstelle in generate_hash_key des Torch-Backends</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11329</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11329</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In onnx onnx-mlir bis Version 0.5.0.0 wurde eine Schwachstelle in der Funktion generate_hash_key der Datei src/Runtime/python/torch_onnxmlir/src/torch_onnxmlir/backend.py gefunden. CVSS-Basiswert: 3.6 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

Severity: Niedrig · CVSS: 3.6 · EPSS: 0.0%

Betroffene Produkte: python</description>
      <category>Niedrig</category><category>Python</category>
    </item>
  </channel>
</rss>
