В Python нашли критическую уязвимость: ошибка в asyncio может привести к выполнению кода на Windows

В Python обнаружена критическая уязвимость в модуле asyncio, которая затрагивает Windows-системы и может привести к повреждению памяти и выполнению произвольного кода. Уязвимость получила идентификатор CVE-2026-3298 и оценивается как высокоопасная.

Ошибка связана с обработкой асинхронных операций ввода-вывода. При определённых условиях система может выйти за пределы выделенной памяти и выполнить код, который внедрил атакующий. Такой сценарий относится к классу memory corruption — одной из самых опасных категорий уязвимостей.

Риск особенно актуален для серверных приложений, CI/CD-систем и сервисов, где Python используется для обработки сетевых запросов. Уязвимость может быть использована как локально, так и в цепочке атак через другие компоненты инфраструктуры.

Python активно применяется в бэкендах, автоматизации и DevOps. Любая ошибка в стандартной библиотеке автоматически становится проблемой для большого числа проектов. В базе CVE уже сотни уязвимостей, и рост числа инцидентов остаётся заметным.

Это не единственный случай критических проблем в экосистеме Python. Ранее исследователи описывали уязвимости в сторонних библиотеках, где небезопасная десериализация через pickle позволяла выполнять код ещё до запуска основной логики приложения.

Разработчикам рекомендуют обновить Python до версии с исправлением, ограничить обработку недоверенных данных и пересмотреть архитектуру асинхронных сервисов, где используются asyncio.