Katalog CVE

CVE-2026-9669

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 35 - wyżej niż 35% wszystkich znanych CVE

Streszczenie

Obiekty bz2.BZ2Decompressor mogły być ponownie używane po błędzie dekompresji. Jeśli aplikacja przechwyciła wyjątek OSError i ponownie użyła tego samego dekompresora, spreparowane dane mogły spowodować wznowienie dekompresji z nieprawidłowego stanu wewnętrznego i zapis poza zakresem do bufora stosu.

Ocena ryzyka

Ryzyko polega na możliwości awarii procesu podczas przetwarzania niezaufanych danych, co może prowadzić do przerwania działania usługi lub systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację Pythona do wersji zawierającej poprawkę dla CVE-2026-9669 oraz unikanie ponownego używania obiektów BZ2Decompressor po błędzie dekompresji.

Oryginalny opis (angielski, źródło NVD)

bz2.BZ2Decompressor objects could be reused after a decompression error. If an application caught the resulting OSError and retried with the same decompressor, crafted input could cause the decompressor to resume from an invalid internal state and perform out-of-bounds writes to a stack buffer. This could crash the process when processing untrusted data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS