CPython - CVE-2026-6100

Date de publication :

Il s’agit d’une vulnérabilité dans les composants lzma.LZMADecompressor, bz2.

CPython est l’implémentation de référence du langage Python. Elle fournit l’interpréteur, la bibliothèque standard et les modules natifs utilisés par de très nombreuses applications et scripts.

BZ2Decompressor et gzip.GzipFile de CPython. Le défaut apparaît quand une allocation mémoire échoue avec MemoryError puis que la même instance de décompression est réutilisée. Dans ce cas précis, un pointeur libéré reste exploitable et peut conduire à une utilisation après libération avec écriture hors limites selon le contexte mémoire. Le problème n’affecte pas les fonctions de décompression à usage unique comme lzma.decompress(), bz2.decompress(), gzip.decompress() et zlib.decompress().

Elle permet une atteinte à la confidentialité des données et une atteinte à l’intégrité des données dans des conditions d’exploitation spécifiques.

CVE-2026-6100

[Score CVSS v3.1 : 8.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-416 : Use After Free

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   CPython versions 3.14 et antérieures,
•   CPython versions 3.13 et antérieures,
•   CPython versions 3.12 et antérieures,
•   CPython versions 3.11 et antérieures,
•   CPython versions 3.10 et antérieures,

Les correctifs ont fait l'objet de backports dédiés, explicitement mentionnés dans la demande de backport.

Solutions ou recommandations

  • CPython branches 3.14, 3.13, 3.12, 3.11 et 3.10 avec le correctif de sécurité intégré et versions supérieures. 
  • Les sources publiques consultées ne précisent pas encore le premier numéro de version publié correspondant.

Liens