Descoberta e escopo da vulnerabilidade
Uma vulnerabilidade crítica de bypass de autenticação foi identificada na API de gerenciamento de lançamentos do python.org, permitindo que atacantes falsificassem requisições administrativas. A falha, descoberta e reportada de forma responsável em 23 de fevereiro de 2026 pela equipe de pesquisa DEVCORE, foi corrigida em menos de 48 horas após o relato inicial. O problema residia na lógica de validação da API, onde um atacante poderia fornecer um nome de usuário de administrador combinado com uma chave de API arbitrária e ter a solicitação processada com privilégios administrativos completos.
A falha existia silenciosamente na base de código desde 2014, abrangendo mais de uma década de lançamentos do Python. Embora os atacantes não pudessem modificar diretamente os binários de lançamento no local, a manipulação de URLs de verificação poderia facilitar ataques de cadeia de suprimentos em larga escala, redirecionando milhões de usuários para URLs de download maliciosas.
Impacto e alcance da exploração
O impacto potencial desta vulnerabilidade é significativo para a comunidade de desenvolvimento global. Ao alterar as URLs de download apresentadas em python.org/downloads, incluindo links para materiais de verificação como assinaturas Sigstore e chaves PGP, um ator malicioso poderia comprometer a integridade de pacotes Python distribuídos mundialmente. Isso representa um risco direto de cadeia de suprimentos, onde a confiança na fonte oficial de distribuição de software é comprometida.
A equipe de resposta à segurança do Python (PSRT) confirmou a vulnerabilidade em uma instância local e coordenou imediatamente uma correção. Desenvolvedores de segurança, incluindo Seth Larson, Hugo van Kemenade e Jacob Coffee, desenvolveram e implantaram o patch em produção dentro de 24 horas. Até 24 de fevereiro, a DEVCORE confirmou que o proof of concept não funcionava mais.
Análise técnica e mitigação
Após a correção, várias etapas adicionais de endurecimento de segurança foram implementadas para prevenir recorrências. A validação de URL foi reforçada: o banco de dados e a API agora rejeitam qualquer URL que não comece com https://www.python.org/, bloqueando redirecionamentos controlados pelo atacante mesmo se a autenticação for burlada. Além disso, foi implementada a exigência de HTTPS para URLs de novos lançamentos, conforme auditado pela Trail of Bits.
Ocasos de teste de autenticação negativa foram adicionados para todas as ramificações de falha de autenticação, garantindo que cenários de erro sejam cobertos. A retenção de logs foi estendida de 3 dias para 30 dias para suportar trabalhos de auditoria futuros. Uma auditoria de terceiros pela Trail of Bits, financiada pela OpenAI, foi concluída em 1º de junho e confirmou a ausência de quaisquer outras questões de autenticação ou autorização.
Implicações para desenvolvedores e empresas
Para equipes de desenvolvimento e CISOs, este incidente reforça a importância de verificar assinaturas de pacotes e não confiar cegamente em URLs de download, mesmo de fontes oficiais. A verificação de integridade via Sigstore ou PGP deve ser parte obrigatória do pipeline de CI/CD. A ausência de exploração confirmada é um alívio, mas a janela de oportunidade de mais de uma década para a existência da falha destaca a necessidade de revisões de segurança contínuas em infraestrutura crítica de software.
O que fazer agora
Desenvolvedores devem garantir que seus ambientes de build verifiquem assinaturas de pacotes Python antes da instalação. Empresas que dependem de bibliotecas Python devem revisar seus processos de atualização e garantir que a integridade dos pacotes seja validada. A equipe de segurança deve monitorar comunicações do PSRT para atualizações sobre possíveis vetores de exploração futuros.