python.org のリリース管理 API における重大な認証バイパス脆弱性が、DEVCORE Research Team の Splitline Ng によって報告されました。2014年から存在していたこの脆弱性により、攻撃者は管理者ユーザー名と任意の API キーを使用して管理者権限を取得することが可能でした。悪用された場合、Python のリリースやファイルメタデータ、特にユーザーに提示されるダウンロード URL を改変することが可能でした。しかし、広範なログとデータベースバックアップの監査の結果、悪用の証拠は見つかりませんでした。Python Security Response Team (PSRT) は、報告から48時間以内に脆弱性を確認し、修正しました。Seth Larson と Hugo van Kemenade が、Jacob Coffee の支援を受けてパッチを開発・展開しました。脆弱性の古さと、リディストリビューターが使用する堅牢な検証プロセスにより、気づかれずに悪用される可能性は非常に低いと考えられます。Sigstore および PGP マテリアルの検証により、すべての python.org アーティファクトが改変されていないことが確認されました。即時のパッチ適用後、コードベースの徹底的な手動監査が、LLM 監査ツールとともに行われました。包括的なセキュリティを確保するため、Trail of Bits によるサードパーティ監査も完了しました。修正作業には、認証メカニズムのパッチ適用、新しいリリースに対する HTTPS URL の要求、否定的な認証テストケースの追加、および非 HTTPS URL の拒否が含まれました。監査能力向上のため、ログの保持期間も延長されました。