python.org 发布管理 API 中存在一个重大的身份验证绕过漏洞，由 DEVCORE 研究团队的 Splitline Ng 报告。该漏洞自 2014 年即已存在，攻击者可利用任意 API 密钥配合管理员用户名获取管理员权限。利用该漏洞可能允许修改 Python 发布及文件元数据，特别是向用户展示的下载 URL。然而，在对日志和数据库备份进行广泛审计后，未发现任何利用证据。Python 安全响应团队（PSRT）在收到报告后 48 小时内确认并修复了该漏洞。Seth Larson 和 Hugo van Kemenade 在 Jacob Coffee 的协助下开发并部署了补丁。鉴于该漏洞的存续时间较长，且分发商采用了稳健的验证流程，未被察觉的利用可能性极低。对 Sigstore 和 PGP 材料的验证确认，所有 python.org 工件均未遭篡改。在立即打补丁之后，团队对代码库进行了彻底的手动审计，并使用了 LLM 审计工具。此外，Trail of Bits 完成了第三方审计，以确保全面的安全性。修复工作包括修补身份验证机制、要求新版本使用 HTTPS URL、添加否定身份验证测试用例，以及拒绝非 HTTPS URL。同时，日志保留时间也得以延长，以提升审计能力。