Vulnerabilidad en CPython (CVE-2026-3644)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
16/03/2026
Última modificación:
04/06/2026
Descripción
La solución para CVE-2026-0672, que rechazaba caracteres de control en http.cookies.Morsel, era incompleta. Los métodos Morsel.update(), el operador |= y las rutas de deserialización no fueron parcheados, permitiendo que los caracteres de control eludieran la validación de entrada. Además, BaseCookie.js_output() carecía de la validación de salida aplicada a BaseCookie.output().
Impacto
Puntuación base 4.0
6.00
Gravedad 4.0
MEDIA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.13.13 (excluyendo) | |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.14.0 (incluyendo) | 3.14.4 (excluyendo) |
| cpe:2.3:a:python:python:3.15.0:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.15.0:alpha2:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.15.0:alpha3:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.15.0:alpha4:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.15.0:alpha5:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.15.0:alpha6:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.15.0:alpha7:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/python/cpython/commit/57e88c1cf95e1481b94ae57abe1010469d47a6b4
- https://github.com/python/cpython/commit/62ceb396fcbe69da1ded3702de586f4072b590dd
- https://github.com/python/cpython/commit/d16ecc6c3626f0e2cc8f08c309c83934e8a979dd
- https://github.com/python/cpython/issues/145599
- https://github.com/python/cpython/pull/145600
- https://mail.python.org/archives/list/security-announce@python.org/thread/H6CADMBCDRFGWCMOXWUIHFJNV43GABJ7/