Se ha descubierto una vulnerabilidad (CVE-2026-6100) en las clases de descompresión de datos comprimidos lzma, bz2 y gzip (lzma.LZMADecompressor, bz2.BZ2Decompressor y gzip.GzipFile) incluidas en CPython. Esta vulnerabilidad provoca un acceso a memoria liberada. Se le ha asignado un nivel de gravedad crítico (9.1 sobre 10). Si se explota con éxito, podría provocar una fuga de información de la memoria del proceso o la ejecución de código malicioso al descomprimir datos especialmente diseñados. Actualmente, hay disponible una solución en forma de parche.
El problema se manifiesta cuando una operación de asignación de memoria finaliza con un error de falta de memoria (para explotar con éxito la vulnerabilidad, un atacante debe crear condiciones que agoten la memoria disponible del proceso). El acceso a memoria ya liberada se produce en aplicaciones que reutilizan una instancia de objeto después de que se devuelva un error durante el desempaquetado. Las aplicaciones que crean una nueva instancia de objeto con cada llamada no son vulnerables.
Fuente: opennet.ru
