CVE-2026-39821
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 — wyżej niż 38% wszystkich znanych CVE
Streszczenie
Funkcje ToASCII i ToUnicode w pakiecie idna błędnie akceptują zakodowane w Punycode etykiety, które dekodują się do nazwy zawierającej tylko znaki ASCII. Na przykład ToUnicode("xn--example-.com") zwraca "example.com" zamiast błędu.
Ocena ryzyka
Ryzyko polega na eskalacji uprawnień w programach używających tego pakietu. Atakujący może ominąć kontrolę dostępu opartą na nazwie hosta ASCII, używając zakodowanej wersji, która po konwersji do Unicode daje dostęp do chronionego zasobu.
Rekomendacja
Zaleca się natychmiastową aktualizację pakietu idna do wersji, która poprawnie odrzuca takie nieprawidłowe etykiety Punycode. Należy również przejrzeć kod aplikacji pod kątem podobnych luk w obsłudze konwersji nazw domen.
Oryginalny opis (angielski, źródło NVD)
The ToASCII and ToUnicode functions incorrectly accept Punycode-encoded labels that decode to an ASCII-only label. For example, ToUnicode("xn--example-.com") incorrectly returns the name "example.com" rather than an error. This behavior can lead to privilege escalation in programs using the idna package. For example, a program which performs privilege checks on the ASCII hostname may reject "example.com" but permit "xn--example-.com". If that program subsequently converts the ASCII hostname to Unicode, it will inadvertently permits access to the Unicode name "example.com".

