python.org 릴리스 관리 API에서 중요한 인증 우회 취약점이 DEVCORE Research Team의 Splitline Ng에 의해 보고되었습니다. 2014년부터 존재했던 이 결함은 공격자가 임의의 API 키를 가진 관리자 사용자 이름을 사용하여 관리자 권한을 얻을 수 있도록 허용했습니다. 악용될 경우 Python 릴리스 및 파일 메타데이터, 특히 사용자에게 제공되는 다운로드 URL을 수정할 수 있었을 것입니다. 그러나 광범위한 로그 및 데이터베이스 백업 감사 후 악용된 증거는 발견되지 않았습니다. Python Security Response Team(PSRT)은 보고 후 48시간 이내에 취약점을 확인하고 패치했습니다. Seth Larson과 Hugo van Kemenade는 Jacob Coffee의 도움을 받아 패치를 개발하고 배포했습니다. 취약점의 오래된 기간과 재배포자들이 사용하는 강력한 검증 프로세스로 인해 눈에 띄지 않는 악용은 매우 드물었습니다. Sigstore 및 PGP 자료의 검증은 모든 python.org 아티팩트가 수정되지 않았음을 확인했습니다. 즉각적인 패치 후, 코드베이스에 대한 철저한 수동 감사와 LLM 감사 도구가 수행되었습니다. 포괄적인 보안을 보장하기 위해 Trail of Bits의 제3자 감사도 완료되었습니다. 복구 노력에는 인증 메커니즘 패치, 최신 릴리스에 대한 HTTPS URL 요구, 부정 인증 테스트 사례 추가, 비 HTTPS URL 거부가 포함되었습니다. 더 나은 감사 기능을 위해 로깅 보존 기간도 늘어났습니다.