Специалисты фонда Python Software Foundation рассказали о критической уязвимости в API для управления релизами. Уязвимость позволяла обойти систему аутентификации и подключиться к API с правами администратора через отправку запроса с любым ключом и указанием одного из администраторов в поле имени пользователя.
Успешная эксплуатация давала злоумышленнику права менять ссылки на релизы Python и метаданные для проверки корректности загружаемых файлов, которые публикуются на странице python.org/downloads. При изменить содержимое уже существовавших файлов релизов было невозможно, только их ссылки и сопутствующую информацию.
Читать далее
Источник: habr.com