PT-2026-3848 · Python+1 · Python+1

Publicado

2024-10-12

·

Atualizado

2026-05-05

·

CVE-2025-12781

CVSS v4.0

6.3

Média

VetorAV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Versões do Python (versões afetadas não especificadas)
Descrição As funções b64decode(), standard b64decode() e urlsafe b64decode() no módulo "base64" aceitam incorretamente os caracteres "+/" independentemente do parâmetro altchars. Este comportamento desvia das recomendações mais recentes da RFC, que sugerem descartar caracteres não reconhecidos ou levantar um erro. Esta discrepância pode potencialmente causar problemas de integridade de dados caso uma aplicação dependa de um alfabeto base64 personalizado que exclua "+/". O problema não é uma falha de segurança em si, mas um desvio dos padrões atuais que pode causar comportamento inesperado. O patch fornecido deprecia o comportamento existente, com o planejamento de alinhar-se às recomendações mais recentes da RFC em uma versão futura do Python.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Incorrect Type Conversion or Cast

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-704

Identificadores relacionados

AZL-75225
AZL-75231
BDU:2026-05132
BIT-LIBPYTHON-2025-12781
BIT-PYTHON-2025-12781
BIT-PYTHON-MIN-2025-12781
CVE-2025-12781
ECHO-F28E-A9D3-D8E5
OESA-2026-1356
OESA-2026-1461
OPENSUSE-SU-2026:10152-1
OPENSUSE-SU-2026:10206-1
OPENSUSE-SU-2026:10221-1
OPENSUSE-SU-2026:10222-1
PSF-2026-7
SUSE-SU-2026:0693-1
SUSE-SU-2026:0767-1
SUSE-SU-2026:20665-1
SUSE-SU-2026:20710-1

Produtos afetados

Python
Red Os