Katalog CVE

CVE-2026-39892

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.65%

Percentyl 47 — wyżej niż 47% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece cryptography dla Pythona (wersje 45.0.0 do 46.0.6) umożliwia przepełnienie bufora podczas przetwarzania nieciągłych buforów przekazanych do API akceptujących bufory Pythona, np. Hash.update(). Problem został naprawiony w wersji 46.0.7.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do spowodowania awarii aplikacji lub potencjalnie wykonania dowolnego kodu, co zagraża poufności i integralności danych przetwarzanych przez aplikacje używające biblioteki cryptography.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę cryptography do wersji 46.0.7 lub nowszej we wszystkich środowiskach, w których jest używana.

Oryginalny opis (angielski, źródło NVD)

cryptography is a package designed to expose cryptographic primitives and recipes to Python developers. From 45.0.0 to before 46.0.7, if a non-contiguous buffer was passed to APIs which accepted Python buffers (e.g. Hash.update()), this could lead to buffer overflows. This vulnerability is fixed in 46.0.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS