CVE-2026-0864
ŚrednieCVSS 4.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w module configparser umożliwia wstrzyknięcie nieoczekiwanych kluczy i wartości do plików konfiguracyjnych podczas zapisywania wartości wieloliniowych zawierających znaki powrotu karetki ( ). Atakujący może kontrolować zapisywaną wartość, co prowadzi do manipulacji treścią pliku.
Ocena ryzyka
Ryzyko polega na możliwości modyfikacji plików konfiguracyjnych przez atakującego, co może skutkować nieautoryzowanymi zmianami w konfiguracji systemu lub aplikacji.
Rekomendacja
Zaleca się unikanie zapisywania wartości wieloliniowych z znakami przy użyciu configparser lub stosowanie odpowiedniego oczyszczania danych wejściowych przed zapisem.
Oryginalny opis (angielski, źródło NVD)
When using the "configparser" module to write configuration files containing multi-line text values with carriage return characters (\r) the resulting file could be injected with unexpected keys and values if the attacker controls the written value.

