Vulnerabilidade crítica no python.org permite requisições de API como Admin

Vulnerabilidade crítica no python.org permitia falsificar requisições de API com privilégios de admin.

Uma vulnerabilidade crítica de bypass de autenticação na API de gerenciamento de versões do python.org poderia ter permitido que invasores se passassem por administradores, potencialmente redirecionando milhões de usuários para URLs de download maliciosas.

A falha, divulgada de forma responsável em 23 de fevereiro de 2026 por Splitline Ng, da equipe de pesquisa da DEVCORE, foi corrigida em 48 horas após o relatório inicial.

A vulnerabilidade residia na API de gerenciamento de versões do python.org, onde um atacante podia fornecer um nome de usuário de administrador combinado com uma chave de API arbitrária e ter a solicitação processada com privilégios administrativos completos, uma clássica forma de burlar a autenticação . A falha existia silenciosamente no código-fonte desde 2014, abrangendo mais de uma década de versões do Python.

Se explorada, essa vulnerabilidade permitiria que um agente malicioso modificasse os metadados de lançamento e de arquivos do Python, alterando os URLs de download apresentados em python.org/downloads, incluindo links para materiais de verificação, como assinaturas Sigstore e chaves PGP.

Embora os atacantes não pudessem modificar diretamente os binários de lançamento, a adulteração dos URLs de verificação poderia ter facilitado ataques em larga escala à cadeia de suprimentos, visando usuários do Python e distribuidores subsequentes em todo o mundo.

Vulnerabilidade crítica no python.org

A Equipe de Resposta a Incidentes de Segurança do Python (PSRT) confirmou a vulnerabilidade em uma instância local e coordenou imediatamente uma correção. O desenvolvedor de segurança residente Seth Larson, juntamente com Hugo van Kemenade e Jacob Coffee, desenvolveram e implementaram a correção ( python/pythondotorg#2946 ) em produção em 24 horas. Em 24 de fevereiro, a DEVCORE confirmou que a prova de conceito não estava mais funcionando.

A análise forense pós-incidente não revelou evidências de exploração. A PSRT auditou os logs, backups do banco de dados e verificou todas as assinaturas de artefatos — tanto Sigstore quanto PGP — do Python 2.5 ao 3.13, sem encontrar anomalias. O Python 3.14 e versões posteriores, que não fornecem mais materiais PGP de acordo com a PEP 761 , foram verificados exclusivamente via Sigstore.

Além da correção da lógica de autenticação, diversas medidas adicionais de reforço de segurança foram implementadas:

  • Validação de URL: O banco de dados e a API agora rejeitam URLs que não começam com `/` https://www.python.org/, bloqueando redirecionamentos controlados por atacantes, mesmo que a autenticação seja burlada.
  • Imposição de HTTPS: A auditoria do Trail of Bits adicionou um validador de campo personalizado exigindo URLs HTTPS para versões mais recentes ( #3014 )
  • Casos de teste de autenticação negativa: Nova cobertura de testes adicionada para todos os ramos de falha de autenticação.
  • Retenção de logs estendida: O período de retenção de logs foi aumentado de 3 para 30 dias para dar suporte a futuras auditorias.

Uma auditoria independente realizada pela Trail of Bits, financiada pela OpenAI, foi concluída em 1º de junho e confirmou a ausência de quaisquer problemas adicionais de autenticação ou autorização. As ferramentas de auditoria com auxílio da LLM, aplicadas em abril, também apresentaram resultados sem problemas.

Fonte: CyberSecurityNews

 

Clique e fale com representante oficial Netwrix Endpoint Protector

 

Veja também:

About mindsecblog 3642 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!