Python Dependency Security ArticlesArticles Sécurité des dépendances Python

pip, Poetry, Pipfile, PyPI attacks — stay ahead of CVEs in your Python stack.

pip, Poetry, Pipfile, attaques PyPI — gardez une longueur d'avance sur les CVE dans votre stack Python.

Results for Résultats pour

Python Python

FastAPI Security Vulnerabilities in 2026: CVE-2026-48710 BadHost Auth Bypass, Pydantic AI SSRF & Production Hardening Guide

Vulnérabilités Sécurité FastAPI en 2026 : CVE-2026-48710 BadHost Bypass Auth, SSRF Pydantic AI & Guide Durcissement Production

CVE-2026-48710 BadHost bypasses path-based auth in FastAPI, vLLM & LiteLLM via a single injected character in the Host header — 325M Starlette weekly downloads at risk, 4-month exposure window (Jan–May 2026). Pydantic AI SSRF chain (CVE-2026-25580 + CVE-2026-46678), ormar validation bypass (CVE-2026-27953), fastar typosquat & async dependency injection security pitfalls. Complete production hardening guide.

CVE-2026-48710 BadHost contourne l'auth basée sur les chemins dans FastAPI, vLLM & LiteLLM via un seul caractère injecté dans l'en-tête Host — 325M téléchargements Starlette/semaine à risque, fenêtre d'exposition de 4 mois (jan.–mai 2026). Chaîne SSRF Pydantic AI (CVE-2026-25580 + CVE-2026-46678), bypass validation ormar (CVE-2026-27953), typosquat fastar & pièges d'injection de dépendances async. Guide de durcissement production complet.

Databases Bases de données

PostgreSQL & Database Dependency Security in 2026: psycopg2 Supply Chain Risks, Prisma ORM Injection & SQLAlchemy Hardening Guide

Sécurité des Dépendances Base de Données en 2026 : Risques Supply Chain psycopg2, Injection ORM Prisma & Guide Durcissement SQLAlchemy

psycopg2-binary bundles OpenSSL invisibly — bypassing OS-level CVE patching and your scanner. Prisma ORM is vulnerable to operator injection (findFirst auth bypass via {“not”: “”}) and plORMbing time-based attacks by elttam. SQLAlchemy f-string queries silently bypass parameterization. 28.65M hardcoded secrets on GitHub in 2025: database credentials are the top target. Complete hardening guide for psycopg2, asyncpg, Prisma & SQLAlchemy.

psycopg2-binary bundle OpenSSL de façon invisible — contournant le patching CVE au niveau OS et votre scanner. Prisma ORM est vulnérable à l’injection d’opérateurs (bypass auth findFirst via {“not”: “”}) et aux attaques plORMbing d’elttam. Les f-strings SQLAlchemy contournent silencieusement la paramétrisation. 28,65M de secrets hardcodés sur GitHub en 2025 : les credentials de base de données sont la première cible. Guide de durcissement complet pour psycopg2, asyncpg, Prisma & SQLAlchemy.

Python Python

Python Security Vulnerabilities in 2026: CVE-2026-3298 asyncio, BadHost (Starlette) & tarfile Bypass Guide

Vulnérabilités Sécurité Python en 2026 : CVE-2026-3298 asyncio, BadHost (Starlette) & Bypass tarfile

CVE-2026-3298 (CVSS 8.8) triggers out-of-bounds writes in asyncio on all Windows Python 3.11+ deployments. CVE-2026-48710 BadHost bypasses FastAPI & LiteLLM auth via a single injected character in the Host header — 325M Starlette downloads/week at risk. Python 3.11 EOL October 2026. tarfile filter bypass (CVE-2025-4517) & full hardening guide.

CVE-2026-3298 (CVSS 8.8) déclenche des écritures hors limites dans asyncio sur tous les déploiements Windows Python 3.11+. CVE-2026-48710 BadHost contourne l’auth FastAPI & LiteLLM via un caractère injecté dans l’en-tête Host — 325M téléchargements Starlette/semaine exposés. Python 3.11 EOL octobre 2026. Bypass filtre tarfile (CVE-2025-4517) & guide durcissement complet.

Python Python

pip-audit vs Safety CLI vs OSV-Scanner in 2026: Python Dependency Security Tools Compared & CI/CD Guide

pip-audit vs Safety CLI vs OSV-Scanner en 2026 : Comparaison des Outils de Sécurité Python & Guide CI/CD

270K+ known vulnerabilities linked to PyPI versions in 2025. Full 2026 comparison of pip-audit 2.10.0 (PEP 751 lockfile support), Safety CLI 3.7.0 (freemium, 3× broader database), and OSV-Scanner V2 (polyglot, SARIF, container scanning) — with GitHub Actions recipes and PyPI Trusted Publishers guide.

270K+ vulnérabilités connues liées aux versions PyPI en 2025. Comparaison complète 2026 de pip-audit 2.10.0 (support lockfile PEP 751), Safety CLI 3.7.0 (freemium, base 3× plus large) et OSV-Scanner V2 (polyglotte, SARIF, scan containers) — avec recettes GitHub Actions et guide PyPI Trusted Publishers.

Python Python

pip-audit & Poetry Security in 2026: CVE-2026-34591, pylock.toml & PyPI Trusted Publishers

Sécurité pip-audit & Poetry en 2026 : CVE-2026-34591, pylock.toml & PyPI Trusted Publishers

CVE-2026-34591 (CVSS 7.1) lets crafted wheels overwrite arbitrary files via Poetry’s wheel installer (Poetry 1.4.0–2.3.2). pip-audit 2.9.0 adds PEP 751 pylock.toml support. 132K+ PyPI packages now have provenance attestations. Full CI/CD integration guide.

CVE-2026-34591 (CVSS 7.1) permet à des wheels craftées d’écraser des fichiers arbitraires via l’installeur Poetry (1.4.0–2.3.2). pip-audit 2.9.0 ajoute le support PEP 751 pylock.toml. Plus de 132K packages PyPI ont des attestations de provenance. Guide CI/CD complet.

Python Python

Python Requests & urllib3 Security in 2026: CVE-2025-66471, CVE-2026-21441 & The Decompression Bomb Chain

Sécurité Python Requests & urllib3 en 2026 : CVE-2025-66471, CVE-2026-21441 & La Chaîne des Bombes de Décompression

CVE-2025-66471 (CVSS 8.9) crashes Python apps via decompression bombs in the streaming API. CVE-2026-21441 (CVSS 7.5) bypasses the fix via HTTP redirects — urllib3 2.6.0–2.6.2 users still affected. 200M+ downloads/week. Full upgrade guide, vulnerable code patterns, and SSRF defense.

CVE-2025-66471 (CVSS 8.9) crashe les apps Python via des bombes de décompression dans l’API streaming. CVE-2026-21441 (CVSS 7.5) contourne le correctif via les redirections HTTP — urllib3 2.6.0–2.6.2 toujours affecté. 200M+ téléchargements/semaine. Guide de mise à niveau complet, patterns vulnérables et défense SSRF.

Python Python

Django ORM Security in 2026: SQL Injection via QuerySet, CVE-2025-64459 & How to Harden Your App

Sécurité ORM Django en 2026 : Injection SQL via QuerySet, CVE-2025-64459 & Guide de Durcissement

CVE-2025-64459 (CVSS 9.1) lets attackers bypass auth via Django’s filter() — no raw SQL needed. CVE-2026-1312 injects via order_by() + FilteredRelation. Django 4.2 LTS is now end-of-life. Full ORM security guide with vulnerable patterns, patched versions, and automated detection.

CVE-2025-64459 (CVSS 9.1) permet de contourner l’auth via filter() de Django — sans SQL brut. CVE-2026-1312 injecte via order_by() + FilteredRelation. Django 4.2 LTS est en fin de vie. Guide complet avec patterns vulnérables, versions corrigées et détection automatisée.

Python Python

Setuptools & pip Security Vulnerabilities in 2026: Directory Traversal, RCE & Bundled Risks

Vulnérabilités Setuptools & pip en 2026 : Directory Traversal, RCE & risques bundlés

CVE-2025-47273 (CVSS 7.7) and CVE-2024-6345 (CVSS 8.8) in setuptools. Python 3.12 bundles both vulnerabilities. Why pip install executes arbitrary code by design, and how to protect your projects.

CVE-2025-47273 (CVSS 7.7) et CVE-2024-6345 (CVSS 8.8) dans setuptools. Python 3.12 bundle les deux vulnérabilités. Pourquoi pip install exécute du code arbitraire par conception, et comment protéger vos projets.

Python Python

PyPI Supply Chain Attacks 2026: Inside the TeamPCP Campaign

Attaques Supply Chain PyPI 2026 : La campagne TeamPCP

TeamPCP hijacked Trivy, Checkmarx, and LiteLLM on PyPI in March 2026 — 95M downloads/month, credentials stolen in 40 minutes. Full timeline and defenses.

TeamPCP a piraté Trivy, Checkmarx et LiteLLM sur PyPI en mars 2026 — 95M de téléchargements/mois, identifiants volés en 40 minutes. Chronologie complète et défenses.

Django Django

Django Security Vulnerabilities 2026: 6 CVEs in One Day

Vulnérabilités Django 2026 : 6 CVE en une seule release

Django patched 3 SQL injection CVEs rated HIGH in a single February 2026 release. Complete analysis, affected versions, and how to monitor your Django stack automatically.

Django a corrigé 3 injections SQL de sévérité HIGH en une seule release de février 2026. Analyse complète, versions affectées, et comment monitorer votre stack Django automatiquement.

Python Python

Why pip audit Alone Won't Protect Your Production

Pourquoi pip audit seul ne protégera pas votre production

pip audit checks known vulnerabilities, but it only runs when you remember to. Learn why continuous monitoring is essential for production Python applications and how to set it up.

pip audit vérifie les vulnérabilités connues, mais uniquement quand vous y pensez. Découvrez pourquoi le monitoring continu est essentiel pour les applications Python en production et comment le mettre en place.

Python Python

Poetry.lock Security: A Complete Guide

Sécurité de Poetry.lock : le guide complet

Poetry's lockfile pins exact versions, but does that make you safe? We break down how CVEs can still affect locked dependencies and what monitoring strategies to adopt.

Le lockfile de Poetry fixe les versions exactes, mais est-ce suffisant ? Nous détaillons comment les CVE peuvent toujours affecter vos dépendances verrouillées et quelles stratégies de monitoring adopter.

Monitor your dependencies automatically

Surveillez vos dépendances automatiquement

Upload your lockfiles and get instant CVE alerts. No code access required.

Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.

Start your 14-day free trial Demarrer l'essai gratuit 14 jours