Python Core : deux failles de sécurité découvertes en mai 2026
Deux vulnérabilités ont été identifiées dans le cœur de Python : l'une permet à un attaquant de contourner les restrictions d'accès en écriture via des caractères de contrôle dans Wsgiref, l'autre provoque un déni de service par manipulation de contenu XML.
Ces failles ont été analysées et documentées par les chercheurs en sécurité de Vigilance.fr au cours de la semaine du 11 au 16 mai 2026.
Les développeurs utilisant Python sont invités à appliquer les correctifs disponibles pour sécuriser leurs applications contre ces deux vecteurs d'attaque.
Deux failles sévères ont été découvertes dans les bibliothèques Python : une contournement de contrôle d'accès dans Cryptography et une surcharge de système dans pypdf.
Une faille dans Python Core liée aux fonctionnalités de débogage à distance permet à un attaquant d'accéder et de modifier des données sans autorisation sur des systèmes exécutant du code Python vulnérable.
Des chercheurs en sécurité ont identifié trois failles de sécurité distinctes affectant des outils de développement largement utilisés : contournement d'accès via Python Black, surcharge par expression régulière dans ajv, et injection de script dans Svelte.
Une vulnérabilité permettant un déni de service a été identifiée dans la bibliothèque Python CBOR2, exploitable via des payloads CBOR malveillants qui provoquent une erreur fatale du système.