प्लेटफ़ॉर्म
python
घटक
black
में ठीक किया गया
26.3.2
26.3.1
CVE-2026-32274 Black में एक Arbitrary File Access भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत स्थानों पर फ़ाइलें लिखने की अनुमति देती है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता Black के संस्करणों ≤26.3.0 को प्रभावित करती है। Black 26.3.1 में इस समस्या का समाधान किया गया है।
Black एक लोकप्रिय Python कोड फ़ॉर्मेटर है। CVE-2026-32274 भेद्यता के कारण, एक हमलावर --python-cell-magics विकल्प के माध्यम से अनधिकृत फ़ाइलें लिख सकता है। यह हमलावर को संवेदनशील डेटा तक पहुंचने, दुर्भावनापूर्ण कोड निष्पादित करने या सिस्टम की अखंडता से समझौता करने की अनुमति दे सकता है। इस भेद्यता का शोषण करने के लिए, हमलावर को --python-cell-magics विकल्प को नियंत्रित करने की आवश्यकता होगी, जो आमतौर पर कमांड-लाइन तर्क या कॉन्फ़िगरेशन फ़ाइल के माध्यम से किया जा सकता है। यदि हमलावर सफलतापूर्वक अनधिकृत फ़ाइलें लिख सकता है, तो वे सिस्टम पर नियंत्रण प्राप्त कर सकते हैं।
CVE-2026-32274 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और संभावित प्रभाव को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता सार्वजनिक रूप से 2026-03-12 को प्रकाशित हुई थी। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन यह संभावना है कि हमलावर इसका शोषण करने के तरीके खोज रहे हैं।
Developers and DevOps teams using Black in automated pipelines or CI/CD systems are particularly at risk. Environments where Black is integrated with third-party tools or services that provide untrusted input to the --python-cell-magics option are also vulnerable. Shared hosting environments where multiple users have access to the Black command-line interface should be carefully reviewed.
• python / code formatting:
Get-Process -Name Black | Select-Object -ExpandProperty Path• python / code formatting: Check for unusual cache files in unexpected locations (e.g., /etc/passwd.black_cache).
• python / code formatting: Monitor command-line arguments passed to Black for suspicious paths or characters in the --python-cell-magics option.
• python / code formatting: Review Black configuration files for any hardcoded or default values for --python-cell-magics that could be exploited.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVE-2026-32274 को कम करने के लिए, Black को संस्करण 26.3.1 या बाद के संस्करण में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो --python-cell-magics विकल्प में अविश्वसनीय उपयोगकर्ता इनपुट को अनुमति देना बंद कर दें। यह विकल्प को हटाने या इसे एक सुरक्षित मान पर सेट करने से किया जा सकता है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करके अनधिकृत फ़ाइल लेखन को रोकने के लिए WAF (वेब एप्लीकेशन फ़ायरवॉल) या प्रॉक्सी नियमों को कॉन्फ़िगर किया जा सकता है।
Actualice Black a la versión 26.3.1 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos debido a la falta de sanitización en la opción --python-cell-magics.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32274 Black में एक भेद्यता है जो हमलावरों को अनधिकृत स्थानों पर फ़ाइलें लिखने की अनुमति देती है। यह भेद्यता Black के संस्करणों ≤26.3.0 को प्रभावित करती है।
यदि आप Black के संस्करण 26.3.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Black को संस्करण 26.3.1 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो --python-cell-magics विकल्प में अविश्वसनीय उपयोगकर्ता इनपुट को अनुमति देना बंद कर दें।
CVE-2026-32274 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और संभावित प्रभाव को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है।
कृपया Black परियोजना की वेबसाइट पर जाएं या नवीनतम सुरक्षा अपडेट के लिए उनके GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।