CVE-2026-9669
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 - wyżej niż 35% wszystkich znanych CVE
Streszczenie
Obiekty bz2.BZ2Decompressor mogły być ponownie używane po błędzie dekompresji. Jeśli aplikacja przechwyciła wyjątek OSError i ponownie użyła tego samego dekompresora, spreparowane dane mogły spowodować wznowienie dekompresji z nieprawidłowego stanu wewnętrznego i zapis poza zakresem do bufora stosu.
Ocena ryzyka
Ryzyko polega na możliwości awarii procesu podczas przetwarzania niezaufanych danych, co może prowadzić do przerwania działania usługi lub systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację Pythona do wersji zawierającej poprawkę dla CVE-2026-9669 oraz unikanie ponownego używania obiektów BZ2Decompressor po błędzie dekompresji.
Oryginalny opis (angielski, źródło NVD)
bz2.BZ2Decompressor objects could be reused after a decompression error. If an application caught the resulting OSError and retried with the same decompressor, crafted input could cause the decompressor to resume from an invalid internal state and perform out-of-bounds writes to a stack buffer. This could crash the process when processing untrusted data.

