CVE-2026-39892
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 — wyżej niż 47% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece cryptography dla Pythona (wersje 45.0.0 do 46.0.6) umożliwia przepełnienie bufora podczas przetwarzania nieciągłych buforów przekazanych do API akceptujących bufory Pythona, np. Hash.update(). Problem został naprawiony w wersji 46.0.7.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do spowodowania awarii aplikacji lub potencjalnie wykonania dowolnego kodu, co zagraża poufności i integralności danych przetwarzanych przez aplikacje używające biblioteki cryptography.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę cryptography do wersji 46.0.7 lub nowszej we wszystkich środowiskach, w których jest używana.
Oryginalny opis (angielski, źródło NVD)
cryptography is a package designed to expose cryptographic primitives and recipes to Python developers. From 45.0.0 to before 46.0.7, if a non-contiguous buffer was passed to APIs which accepted Python buffers (e.g. Hash.update()), this could lead to buffer overflows. This vulnerability is fixed in 46.0.7.

