Katalog CVE

CVE-2026-5713

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.02%

Percentyl 5 - wyżej niż 5% wszystkich znanych CVE

Streszczenie

Moduł 'profiling.sampling' (Python 3.15+) oraz możliwości introspekcji 'asyncio' (3.14+) mogą być wykorzystane do odczytu i zapisu adresów w uprzywilejowanym procesie, jeśli ten proces połączy się z złośliwym lub 'zainfekowanym' procesem Python za pomocą funkcji zdalnego debugowania.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do pamięci uprzywilejowanych procesów, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się unikanie korzystania z funkcji zdalnego debugowania w połączeniach z niezaufanymi procesami oraz aktualizację do najnowszej wersji Pythona, aby zminimalizować ryzyko.

Oryginalny opis (angielski, źródło NVD)

The "profiling.sampling" module (Python 3.15+) and "asyncio introspection capabilities" (3.14+, "python -m asyncio ps" and "python -m asyncio pstree") features could be used to read and write addresses in a privileged process if that process connected to a malicious or "infected" Python process via the remote debugging feature. This vulnerability requires persistently and repeatedly connecting to the process to be exploited, even after the connecting process crashes with high likelihood due to ASLR.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS