CVE-2026-39892
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 - wyżej niż 47% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece cryptography dla języka Python umożliwia przepełnienie bufora podczas przetwarzania nieciągłych buforów przekazanych do API takich jak Hash.update(). Problem występuje w wersjach od 45.0.0 do 46.0.6.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania kodu lub spowodowania awarii aplikacji, co może prowadzić do naruszenia poufności lub integralności danych.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę cryptography do wersji 46.0.7 lub nowszej.
Oryginalny opis (angielski, źródło NVD)
cryptography is a package designed to expose cryptographic primitives and recipes to Python developers. From 45.0.0 to before 46.0.7, if a non-contiguous buffer was passed to APIs which accepted Python buffers (e.g. Hash.update()), this could lead to buffer overflows. This vulnerability is fixed in 46.0.7.

