Katalog CVE

CVE-2026-4519

NiskieCVSS 3.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Podatność w API webbrowser.open() w Pythonie pozwalała na akceptowanie URL-i z wiodącymi myślnikami, które mogły być interpretowane jako opcje linii poleceń przez niektóre przeglądarki internetowe. Nowe zachowanie odrzuca takie URL-e.

Ocena ryzyka

Atakujący może przekazać spreparowany URL z myślnikami, co może prowadzić do wykonania niepożądanych opcji przeglądarki, potencjalnie umożliwiając uruchomienie złośliwego kodu lub wyciek danych.

Rekomendacja

Zaleca się aktualizację Pythona do wersji, w której wprowadzono poprawkę odrzucającą wiodące myślniki. Ponadto należy zawsze sanityzować URL-e przed przekazaniem ich do funkcji webbrowser.open().

Oryginalny opis (angielski, źródło NVD)

The webbrowser.open() API would accept leading dashes in the URL which could be handled as command line options for certain web browsers. New behavior rejects leading dashes. Users are recommended to sanitize URLs prior to passing to webbrowser.open().

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS