La fondation Python annonce avoir corrigé un contournement d'authentification sur python.org concernant le téléchargement de métadonnées. L'alerte avait été donnée fin février par DEVCORE Research Team après la découverte d'une vulnérabilité sur le mécanisme d'authentification, en utilisant une clé API arbitraire et permettant d'élever les permissions admin. Si un hacker avait exploité cette faille, il aurait pu accéder aux métadonnées et modifier les URL. La fondation affirme qu'aucune preuve d'exploitation n'a été détectée.

En quelques heures, les équipes Python explorent le rapport et développent le patch nécessaire pour corriger la clé API et la faille de l'authentification. Pour renforcer la sécurité, toutes les URL ne commençant pas par https://python.org sont rejetées par la base de données et les API. Et pour élargir le monitoring, les logs sont conservés durant 30 jours au lieu de 3.

Chronologie

23 février : rapport de DEVCORE Research Team

23 février : l'équipe sécurité de la fondation Python est prévenue

24 février : revue du patch de sécurité et déploiement sur python.org

24 février : DEVCORE confirme que le patch fonctionne

25 février : audit et confirmation que la faille n'a pas été exploitée

23 avril : les LLM de sécurité auditent le code source, pas d'autres failles découvertes

23 juin : publication officielle du rapport

Source : https://pyfound.blogspot.com/2026/06/mitigated-api-bypass-for-download-metadata-python-dot-org.html