Специалисты по информационной безопасности обнаружили опасную ошибку в языке программирования Python, которая затрагивает лишь операционную систему Windows. Уязвимость, получившая идентификатор CVE-2026-3298, связана с некорректной работой метода "sock_recvfrom_into()" в классе "asyncio.ProactorEventLoop" - компоненте библиотеки "asyncio" (средства для написания асинхронного кода). Оценка по шкале CVSS составляет 8,8 балла из десяти, что соответствует высокому уровню угрозы. Проблема в том, что метод не проверял границы буфера при использовании параметра "nbytes", из-за чего атакующий мог осуществить запись за пределы выделенной области памяти, если объём поступающих данных превышал размер буфера.
Уязвимость CVE-2026-3298
Суть ошибки довольно проста, хотя её последствия могут быть разрушительными. Метод "sock_recvfrom_into()" предназначен для приёма данных через сокет (программный интерфейс для сетевого обмена) с одновременной записью в заранее выделенный буфер. При указании параметра "nbytes" ожидалось, что будет принято не больше данных, чем указано в этом параметре, однако из-за отсутствия проверки границ реальный размер принятого пакета мог оказаться больше, что приводило к переполнению буфера. Такая ситуация называется "запись за границы" и относится к распространённому типу уязвимостей CWE-787. В контексте сетевых приложений это означает, что злоумышленник, отправив на уязвимый сервер вредоносный сетевой пакет, может повредить соседние участки памяти, что потенциально ведёт к выполнению произвольного кода или отказу в обслуживании.
Важно отметить, что уязвимость затрагивает только Windows, поскольку класс "ProactorEventLoop" реализован исключительно для этой платформы. На Linux, macOS и других системах проблема не проявляется. Однако для российского рынка, где доля Windows по-прежнему высока как в корпоративном секторе, так и среди разработчиков, эта новость имеет прямое практическое значение. Версии Python с 3.11.0 по 3.14.9 (включительно) считаются подверженными риску. Разработчики из Python Software Foundation уже выпустили исправление в версии 3.15.0, поэтому всем пользователям настоятельно рекомендуется обновиться до неё или установить патч, если он предоставлен отдельно.
Помимо очевидных рисков для серверов и приложений, написанных на Python, стоит обратить внимание на более широкий контекст. Уязвимость затрагивает только один метод, но если он используется в составе популярных фреймворков или библиотек, например, в веб-серверах на основе aiohttp, популярных асинхронных библиотеках для работы с сетью или же в системах мониторинга, то потенциальная зона поражения оказывается гораздо шире. Атакующий может не только вызвать аварийное завершение процесса, но и попытаться записать вредоносный код в область памяти, которая затем может быть выполнена. В современных условиях, когда асинхронные приложения широко распространены в высоконагруженных веб-сервисах, чат-ботах, системах сбора данных и даже в облачной инфраструктуре, такая уязвимость требует немедленного реагирования.
Эксперты по кибербезопасности подчёркивают, что вектор атаки - сетевой без аутентификации (согласно вектору CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H). Это означает, что злоумышленнику не нужно иметь доступ к системе или знать какие-либо учётные данные; достаточно отправить специально сформированный пакет на уязвимый сервер. Сложность проведения атаки оценивается как низкая, а влияние на доступность - высокое. При этом конфиденциальность и целостность затронуты лишь частично, что, впрочем, не снижает общей опасности, так как полный отказ в обслуживании или получение контроля над частью памяти может служить отправной точкой для более сложных атак.
Отдельно стоит отметить, что уязвимость была обнаружена и раскрыта скорее всего в рамках ответственного разглашения, однако точные обстоятельства её обнаружения не указаны в публичных источниках. Тем не менее, уже выпущен официальный бюллетень безопасности, и команда Python рекомендует немедленно обновить среду разработки и производственные серверы. Для тех, кто по каким-либо причинам не может выполнить обновление прямо сейчас, временной мерой может стать отказ от использования метода "sock_recvfrom_into()" с параметром "nbytes" в сторонних библиотеках, либо замена "ProactorEventLoop" на "SelectorEventLoop" в Windows (хотя последний может быть менее производителен для некоторых сценариев). Но это лишь паллиатив; полное устранение угрозы возможно только через установку патча.
Для конечных пользователей и малого бизнеса, использующего готовые продукты на Python (например, системы управления контентом, CRM или инструменты аналитики), риски снижаются, если эти продукты не используют напрямую данный метод или обновлены до актуальной версии интерпретатора. Однако поставщикам коммерческого программного обеспечения на Python следует незамедлительно проверить свои решения на использование уязвимого API и выпустить обновления для клиентов.
CVE-2026-3298 - серьёзная ошибка безопасности в реализации Windows-компонента Python, позволяющая удалённо вызвать запись за границы буфера. Затронуты версии с 3.11.0 до выхода исправления 3.15.0. Учитывая высокую распространённость Python в облачных и серверных средах, а также низкий порог входа для атакующего, данную уязвимость следует считать приоритетной для закрытия. Разработчикам и администраторам, работающим на Windows, стоит как можно скорее обновить интерпретатор Python до версии 3.15.0 или выше, а также проверить наличие библиотек, которые могли использовать неисправленный "ProactorEventLoop". Только так можно гарантировать защиту от потенциальной компрометации системы через этот вектор.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-3298
- https://github.com/python/cpython/pull/148809
- https://mail.python.org/archives/list/security-announce@python.org/thread/KWTPIQBOOOUNQP7UFSLBI437NJDFLA3F/
