Trois bibliothèques Python : injections SQL et surcharges détectées
Les bibliothèquesPython assyncmy, hex_core et Python-Markdown contiennent des failles de sécurité : injections SQL via Dict Keys, surcharge de service et erreurs d'assertion.
Publié 8sem·1 média·Important
≈ 29s
Le fait
Thèses vulnérabilités ont été analysées début mars 2026 et affectent des composants utilisés dans de nombreux projets open source et commerciaux.
Les développeurs doivent appliquer d'urgence les correctifs pour éviter des compromissions de données ou des interruptions de service.
Deux failles sévères ont été découvertes dans les bibliothèques Python : une contournement de contrôle d'accès dans Cryptography et une surcharge de système dans pypdf.
Des chercheurs en sécurité ont identifié quatre failles de sécurité affectant des composants largement utilisés : Axios, Python python-multipart, PyPDF2 et Apache HttpComponents HttpClient.
Deux vulnérabilités ont été identifiées dans le cœur de Python : l'une permet à un attaquant de contourner les restrictions d'accès en écriture via des caractères de contrôle dans Wsgiref, l'autre provoque un déni de service par manipulation de contenu XML.
Les bibliothèques AIOHTTP et kin-openapi présentent des failles permettant à un attaquant de provoquer une surcharge système via des requêtes spécialement construites : cookies multiples pour AIOHTTP, données multipart/form-data pour kin-openapi.
Des chercheurs en sécurité ont identifié trois failles de sécurité distinctes affectant des outils de développement largement utilisés : contournement d'accès via Python Black, surcharge par expression régulière dans ajv, et injection de script dans Svelte.