Một lỗ hổng nghiêm trọng trong API quản lý bản phát hành của python.org cho phép bỏ qua xác thực đã được phát hiện, có khả năng cho phép kẻ tấn công giả mạo quản trị viên và chuyển hướng hàng triệu người dùng đến các URL tải xuống độc hại. Lỗ hổng này đã được báo cáo có trách nhiệm vào ngày 23 tháng 2 năm 2026 bởi Splitline Ng thuộc nhóm Nghiên cứu DEVCORE và đã được khắc phục trong vòng 48 giờ sau báo cáo ban đầu.
Chi tiết về lỗ hổng bảo mật
Lỗ hổng tồn tại trong API quản lý bản phát hành của python.org. Kẻ tấn công có thể cung cấp tên người dùng quản trị viên kèm theo một khóa API tùy ý, và yêu cầu sẽ được xử lý với đầy đủ quyền quản trị. Lỗ hổng này, hay còn gọi là authentication bypass, đã tồn tại trong mã nguồn từ năm 2014, kéo dài hơn một thập kỷ các bản phát hành Python.
Ảnh hưởng khi khai thác
Nếu bị khai thác, kẻ tấn công có thể sửa đổi siêu dữ liệu bản phát hành và tệp của Python, thay đổi các URL tải xuống được hiển thị trên trang python.org/downloads. Điều này bao gồm cả các liên kết đến các tài liệu xác minh như chữ ký Sigstore và khóa PGP.
Mặc dù kẻ tấn công không thể sửa đổi trực tiếp các tệp nhị phân của bản phát hành tại chỗ, việc giả mạo các URL xác minh có thể tạo điều kiện cho các cuộc tấn công chuỗi cung ứng quy mô lớn nhắm vào người dùng Python và các nhà phân phối hạ nguồn trên toàn thế giới.
Quá trình khắc phục và các biện pháp tăng cường bảo mật
Đội phản ứng sự cố bảo mật Python (PSRT) đã xác nhận lỗ hổng và ngay lập tức phối hợp khắc phục. Seth Larson, cùng với Hugo van Kemenade và Jacob Coffee, đã phát triển và triển khai bản vá (python/pythondotorg#2946) lên môi trường sản xuất trong vòng 24 giờ. Đến ngày 24 tháng 2, DEVCORE đã xác nhận rằng bằng chứng khái niệm (proof of concept) không còn hoạt động.
Phân tích pháp y sau sự cố cho thấy không có bằng chứng về việc lỗ hổng bị khai thác. PSRT đã kiểm tra nhật ký, bản sao lưu cơ sở dữ liệu và xác minh tất cả các chữ ký của tệp, bao gồm cả Sigstore và PGP từ Python 2.5 đến 3.13, không phát hiện bất kỳ bất thường nào. Các bản phát hành Python 3.14 trở lên, không còn cung cấp tài liệu PGP theo PEP 761, đã được xác minh độc quyền thông qua Sigstore.
Các bước tăng cường bảo mật bổ sung
Ngoài việc vá lỗi logic xác thực, một số bước tăng cường bảo mật bổ sung đã được triển khai:
- Một cuộc kiểm toán của bên thứ ba bởi Trail of Bits, do OpenAI tài trợ, đã hoàn thành vào ngày 1 tháng 6 và xác nhận không có thêm vấn đề nào về xác thực hoặc ủy quyền.
- Các công cụ kiểm toán hỗ trợ bởi LLM được áp dụng vào tháng 4 cũng cho kết quả sạch.
Sự cố này nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật định kỳ và phản ứng nhanh chóng với các tin tức bảo mật mới nhất để bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn.
Tham khảo thêm về các vấn đề bảo mật liên quan tại National Vulnerability Database (NVD).
Windows Secure Boot Certificates to Expire – What IT Teams Should Do Before the Deadline.
