ALT-PU-2026-6424-3 — python3.14

BDU:2026-04596

MEDIUM5.5

Уязвимость класса FileLoader интерпретатора языка программирования Python (CPython), позволяющая нарушителю оказать воздействие на целостность защищаемой информации

Опубликовано: 2026-04-03

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

CVSS 2.0СРЕДНЯЯ 4.6

CVSS:2.0/AV:L/AC:L/Au:S/C:N/I:C/A:N

Ссылки

CVE-2026-2297

BDU:2026-04601

HIGH7.1

Уязвимость библиотеки http.cookies интерпретатора языка программирования Python (CPython), позволяющая нарушителю оказать влияние на конфиденциальность и целостность защищаемой информации

Опубликовано: 2026-04-03

CVSS 3.xВЫСОКАЯ 7.1

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:C/A:N

Ссылки

CVE-2026-3644

BDU:2026-04602

MEDIUM6.5

Уязвимость компонента ElementDeclHandler интерпретатора языка программирования Python (CPython), позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2026-04-03

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:N/A:C

Ссылки

CVE-2026-4224

CVE-2026-2297

MEDIUM5.7

The import hook in CPython that handles legacy *.pyc files (SourcelessFileLoader) is incorrectly handled in FileLoader (a base class) and so does not use io.open_code() to read the .pyc files. sys.audit handlers for this audit event therefore do not fire.

Опубликовано: 2026-03-04Изменено: 2026-05-01

CVSS 4.0СРЕДНЯЯ 5.7

CVSS:4.0/CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

CVE-2026-3644

MEDIUM6.0

The fix for CVE-2026-0672, which rejected control characters in http.cookies.Morsel, was incomplete. The Morsel.update(), |= operator, and unpickling paths were not patched, allowing control characters to bypass input validation. Additionally, BaseCookie.js_output() lacked the output validation applied to BaseCookie.output().

Опубликовано: 2026-03-16Изменено: 2026-03-17

CVSS 4.0СРЕДНЯЯ 6.0

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

CVE-2026-4224

MEDIUM6.0

When an Expat parser with a registered ElementDeclHandler parses an inline document type definition containing a deeply nested content model a C stack overflow occurs.

Опубликовано: 2026-03-16Изменено: 2026-04-08

CVSS 4.0СРЕДНЯЯ 6.0

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

CVE-2026-4519

HIGH7.0

The webbrowser.open() API would accept leading dashes in the URL which could be handled as command line options for certain web browsers. New behavior rejects leading dashes. Users are recommended to sanitize URLs prior to passing to webbrowser.open().

Опубликовано: 2026-03-20Изменено: 2026-04-16

CVSS 3.xНИЗКАЯ 3.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CVSS 4.0ВЫСОКАЯ 7.0

CVSS:4.0/CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

Обновление пакета python3.14 в ветке sisyphus

Закрытые проблемы (7)

Уязвимость класса FileLoader интерпретатора языка программирования Python (CPython), позволяющая нарушителю оказать воздействие на целостность защищаемой информации

Уязвимость компонента ElementDeclHandler интерпретатора языка программирования Python (CPython), позволяющая нарушителю вызвать отказ в обслуживании

The import hook in CPython that handles legacy *.pyc files (SourcelessFileLoader) is incorrectly handled in FileLoader (a base class) and so does not use io.open_code() to read the .pyc files. sys.audit handlers for this audit event therefore do not fire.

When an Expat parser with a registered ElementDeclHandler parses an inline document type definition containing a deeply nested content model a C stack overflow occurs.

The webbrowser.open() API would accept leading dashes in the URL which could be handled as command line options for certain web browsers. New behavior rejects leading dashes. Users are recommended to sanitize URLs prior to passing to webbrowser.open().