CVE-2026-5713
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
Moduł 'profiling.sampling' (Python 3.15+) oraz możliwości introspekcji 'asyncio' (3.14+) mogą być wykorzystane do odczytu i zapisu adresów w uprzywilejowanym procesie, jeśli ten proces połączy się z złośliwym lub 'zainfekowanym' procesem Python za pomocą funkcji zdalnego debugowania.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do pamięci uprzywilejowanych procesów, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się unikanie korzystania z funkcji zdalnego debugowania w połączeniach z niezaufanymi procesami oraz aktualizację do najnowszej wersji Pythona, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
The "profiling.sampling" module (Python 3.15+) and "asyncio introspection capabilities" (3.14+, "python -m asyncio ps" and "python -m asyncio pstree") features could be used to read and write addresses in a privileged process if that process connected to a malicious or "infected" Python process via the remote debugging feature. This vulnerability requires persistently and repeatedly connecting to the process to be exploited, even after the connecting process crashes with high likelihood due to ASLR.

