Splitline Ng из DEVCORE Research Team сообщил о серьезной уязвимости обхода аутентификации в API управления релизами python.org. Эта уязвимость, существующая с 2014 года, позволяла злоумышленнику использовать имя пользователя администратора с произвольным API-ключом для получения прав администратора. Эксплуатация могла бы позволить изменять метаданные релизов и файлов Python, в частности, URL-адреса загрузки, представленные пользователям. Однако после обширных проверок журналов и резервных копий баз данных доказательств эксплуатации не было обнаружено. Команда реагирования на инциденты безопасности Python (PSRT) подтвердила и устранила уязвимость в течение 48 часов после сообщения. Сет Ларсон и Хьюго ван Кеменейд разработали и внедрили исправление при содействии Джейкоба Коффи. Учитывая давность уязвимости и надежные процессы проверки, используемые распространителями, незамеченная эксплуатация была крайне маловероятной. Проверка материалов Sigstore и PGP подтвердила, что все артефакты python.org остались неизменными. После немедленного исправления был проведен тщательный ручной аудит кодовой базы, а также использованы инструменты аудита на основе LLM. Для обеспечения всесторонней безопасности был также проведен сторонний аудит компанией Trail of Bits. Меры по устранению уязвимости включали исправление механизма аутентификации, требование HTTPS-URL для новых релизов, добавление отрицательных тестовых случаев аутентификации и отклонение не-HTTPS URL. Также был увеличен срок хранения журналов для улучшения возможностей аудита.