Critical python.org Vulnerability Allowed Attackers to Forge Admin-Level API Requests
2026/06/26 CyberSecurityNews — python.org のリリース管理 API に存在する、深刻な認証回避の脆弱性 CVE-N/A を悪用する攻撃者は、管理者への成りすましを可能にしていた。これにより、悪意のダウンロード URL へと、数百万人のユーザーを誘導していた可能性がある。この欠陥は、2026年2月23日に DEVCORE Research Team の Splitline Ng が適切に開示したものであり、最初の報告から48時間以内に修正が施された。

python.org のリリース管理 API に存在する、この脆弱性を悪用する攻撃者は、管理者のユーザー名と任意の API キーを組み合わせて指定し、管理者権限によるリクエストを実行させることが可能だった。
この典型的な認証回避の欠陥は、2014年以降の 10年以上にわたる期間において、気付かれない状態で存在していた。
この脆弱性の悪用に成功した脅威アクターは、Python のリリースおよびファイルのメタデータを改変できた可能性がある。それらのデータには、Sigstore の署名や PGP キーなどの検証用資料へのリンクや、”python.org/downloads” で表示されるダウンロード URL の情報などが含まれる。
攻撃者はリリース・バイナリ自体を改変することはできなかった。しかし、検証用 URL の改竄により、世界中の Python ユーザーおよび下流の配布事業者を標的とする、大規模なサプライチェーン攻撃を促進できた可能性がある。
深刻な python.org の脆弱性
Python Security Response Team (PSRT) は、この脆弱性をローカル・インスタンスで確認し、直ちに修正のための調整を開始した。Security Developer-in-Residence の Seth Larson は、Hugo van Kemenade および Jacob Coffee とともに、パッチ “python/pythondotorg#2946” を開発した。そして、24時間以内に本番環境へ展開した。それにより、2月24日以降において、PoC が機能しなくなったことを DEVCORE は確認した。
インシデント後のフォレンジック調査では、悪用の証拠は発見されなかった。PSRT はログおよびデータベース・バックアップを監査し、Python 2.5 から 3.13 までの全アーティファクト署名を検証した。そこには、Sigstore と PGP が含まれるが、異常は確認されなかった。PEP 761 により PGP 用資料を提供しなくなっていた Python 3.14 以降のリリースについては、Sigstore のみが検証された。
認証ロジックの修正に加えて、以下の追加的なセキュリティ強化策が実装された。
- URL の検証:データベースおよび API は、”https://www.python.org/” で始まらない全 URL を拒否する。これにより、認証が回避された場合でも、攻撃者が制御するリダイレクトはブロックされる。
- HTTPS の強制:Trail of Bits の監査により、新しいリリースでは HTTPS URL を必須とするカスタム・フィールド・バリデータが追加された (#3014)。
- 認証失敗のテスト・ケース:すべての認証失敗ブランチに対する、新たなテスト範囲が追加された。
- ログ保持期間の延長:将来の監査作業を支援するため、ログの保持期間は3日から30日へと延長された。
OpenAI の資金提供を受けた Trail of Bits によるサードパーティ監査は、6月1日に完了した。この監査では、認証または認可に関する別問題が存在しないことが確認された。2026年4月に適用された LLM 支援の監査ツールでも、問題は検出されなかった。
訳者後書:python.org のプログラム管理 API において、適切な認証の手続きを経ずに管理者の権限が奪われてしまう深刻な弱点が見つかりました。この問題の背景には、長年にわたり認証の仕組みに潜んでいた設計上の見落としがあります。悪用された場合には、偽のダウンロード・サイトへと利用者が誘導されるといった、大規模な侵害に繋がる恐れがありましたが、迅速な修正により実環境での被害は確認されませんでした。対応策として、プログラムの提供元において、アクセス URL の厳格な検証や通信の暗号化といった複数の防御策が導入されました。ユーザーとしては、利用するツールの安全性を過信せず、常に公式が発信する最新の検証情報に目を向けていくことが大切です。
You must be logged in to post a comment.