python 2026
zeroconf: vulnerabilidade de negação de serviço por consumo de memória e CPU
Uma vulnerabilidade de segurança no AsyncListener.
Kolibri: Vulnerabilidade SSRF em endpoints da API
Múltiplos endpoints da API do Kolibri aceitavam um parâmetro `baseurl` não validado, permitindo SSRF e reflexão de resposta.
meta-ads-mcp: Vazamento de token de acesso do Meta em servidor MCP não autenticado
AuthInjectionMiddleware.dispatch() em http_auth_integration.py:272 encaminha requisições sem autenticação, e api.py:136 anexa acce
WsgiDAV 4.3.3: Path Traversal em FilesystemProvider._loc_to_file_path()
WsgiDAV 4.3.3 possui uma vulnerabilidade de path traversal em FilesystemProvider._loc_to_file_path() que permite escapar da raiz c
vLLM: Revisão de artefatos não é aplicada consistentemente
O pinning de revisão no vLLM não se aplica consistentemente a todos os artefatos carregados para um modelo.
PDM: escrita de arquivos de configuração sem proteção contra symlinks
PDM escreve arquivos de estado/configuração locais do projeto (pdm.
Litestar: CSRF cookie não escapado permite XSS em templates com CSRF
Instâncias do Litestar que usam templates com proteção CSRF são vulneráveis a injeção de HTML levando a XSS, pois o conteúdo do co
pdm: Path traversal em InstallDestination.write_to_fs() permite escrita arbitrária de arquivos
InstallDestination.write_to_fs() em src/pdm/installers/installers.py substitui o método da classe base para adicionar suporte a sy
django 6.0.6: nova versão disponível
Django 6.0.6 é um novo lançamento do framework web Python de alto nível.
docling: correções de segurança no backend METS-GBS
Corrigidas vulnerabilidades de XXE, bomba de descompressão e extração ilimitada de arquivos no backend METS-GBS.
docling: correção de segurança em validação de caminhos no backend LaTeX
O backend LaTeX não validava caminhos em comandos \includegraphics, \input e \include, permitindo path traversal.
aiohttp: cookies enviados após redirecionamento entre origens
Cookies definidos com o parâmetro `cookies` em requisições são enviados após seguir um redirecionamento entre origens, potencialme
Starlette: validação do cabeçalho Host conforme RFC 9112/3986
O cabeçalho HTTP Host agora é validado contra a gramática das RFCs 9112 §3.
WebOb 1.8.10 corrige bypass de segurança na normalização do cabeçalho Location
WebOb 1.8.10 corrige um bypass de segurança na normalização do cabeçalho Location, onde caracteres ASCII como tabulação, retorno d
strawberry-graphql: QueryDepthLimiter vulnerável a DoS por recursão infinita em fragmentos circulares
A extensão QueryDepthLimiter não possui detecção de ciclos em fragmentos.
strawberry-graphql: MaxAliasesLimiter não contabiliza FragmentSpreadNode
A extensão MaxAliasesLimiter no Strawberry GraphQL não considera o efeito multiplicativo de FragmentSpreadNode, permitindo que ata
kas: vulnerabilidade de segurança permite substituição de repositório
Uma vulnerabilidade de segurança no kas permite que um invasor substitua um repositório por um malicioso sob condições específicas
vantage6: Algoritmos maliciosos podem acessar arquivos de outros algoritmos
Um aviso de segurança foi publicado para o vantage6 indicando que algoritmos maliciosos podem potencialmente acessar arquivos de e
Bugsink: autorização de eventos agora exige vínculo com issue e projeto
Páginas de evento de issue no Bugsink não aceitam mais um identificador de evento direto da URL sem que ele pertença à issue na UR
bugsink: Correção de autorização em ações em lote na lista de issues
Corrigido um problema de autorização entre projetos onde ações em lote na lista de issues podiam modificar issues de outros projet
Bugsink: vazamento de metadados entre projetos via debug IDs (CVE-2024-XXXX)
Antes do 2.2.0, a resolução de sourcemaps e arquivos de debug por debug ID não era escopada ao projeto proprietário do metadado. U
Bugsink: Vulnerabilidade de negação de serviço por excesso de tags em eventos (atualize para 2.2.2)
Versões do Bugsink anteriores a 2.
GeoNode 4.4.5 e 5.0.2: Vulnerabilidade de SSRF no registro de serviço
GeoNode versões 4.4.5 e 5.0.2 (e anteriores dentro de seus respectivos lançamentos) contêm uma vulnerabilidade de server-side requ
dulwich: Sanitização de assunto de commit em format_patch para evitar path traversal
dulwich.porcelain.format_patch e a CLI format-patch agora sanitizam assuntos de commit para evitar path traversal e injeção de nom
Dulwich: vulnerabilidade de exaustão de memória em add_thin_pack / apply_delta
Uma vulnerabilidade de exaustão de memória (CWE-400/CWE-789) em add_thin_pack / apply_delta permite que um cliente com acesso de p
docling: Vulnerabilidade XXE em parsers XML de patentes USPTO corrigida na v2.74.0
Parsers XML de patentes USPTO (ICE v4.
docling: correções de segurança no backend HTML
Correções de segurança no backend HTML do docling: corrigidas múltiplas vulnerabilidades, incluindo acesso a arquivos locais via U
docling-core: vulnerabilidade de acesso a arquivos locais e consumo excessivo de memória
Nas versões >=2.5.0, <2.74.1, o docling-core permitia referências a imagens locais (file://) e conteúdo inline data: sem limite de
Jupyter Enterprise Gateway: bypass da proteção de UID/GID via espaços em branco
Uma vulnerabilidade de segurança foi publicada para o Jupyter Enterprise Gateway.
Jupyter Enterprise Gateway: SSTI via KERNEL_XXX env vars em Kubernetes
Variáveis de ambiente (KERNEL_XXX) usadas na renderização de manifestos Kubernetes são vulneráveis a Server Side Template Injectio
Jupyter Enterprise Gateway Vulnerável a Injeção YAML via Variáveis de Ambiente
Jupyter Enterprise Gateway é vulnerável a injeção YAML via variáveis de ambiente não confiáveis (ex.
stata-mcp: vulnerabilidade de injeção de comando no parâmetro log_file_name
O parâmetro `log_file_name` nas APIs e CLI `stata_do` é interpolado diretamente em um comando Stata sem sanitização, permitindo in
praisonai-platform: Falta de escopo de workspace nos endpoints CRUD de Agent
Os endpoints CRUD de Agent (GET/PATCH/DELETE /workspaces/{workspace_id}/agents/{agent_id}) não aplicam escopo de workspace na busc
AIT-Core BSC: Path Traversal e Escrita Arbitrária de Arquivos
O componente Binary Stream Capture (BSC) do AIT-Core antes das versões 3.