PYTHON
Python Dependency Security ArticlesArticles Sécurité des dépendances Python
pip, Poetry, Pipfile, PyPI attacks — stay ahead of CVEs in your Python stack.
pip, Poetry, Pipfile, attaques PyPI — gardez une longueur d'avance sur les CVE dans votre stack Python.
Results for Résultats pour
No articles matched your search
Aucun article ne correspond à votre recherche
FastAPI Security Vulnerabilities in 2026: CVE-2026-48710 BadHost Auth Bypass, Pydantic AI SSRF & Production Hardening Guide
Vulnérabilités Sécurité FastAPI en 2026 : CVE-2026-48710 BadHost Bypass Auth, SSRF Pydantic AI & Guide Durcissement Production
CVE-2026-48710 BadHost bypasses path-based auth in FastAPI, vLLM & LiteLLM via a single injected character in the Host header — 325M Starlette weekly downloads at risk, 4-month exposure window (Jan–May 2026). Pydantic AI SSRF chain (CVE-2026-25580 + CVE-2026-46678), ormar validation bypass (CVE-2026-27953), fastar typosquat & async dependency injection security pitfalls. Complete production hardening guide.
CVE-2026-48710 BadHost contourne l'auth basée sur les chemins dans FastAPI, vLLM & LiteLLM via un seul caractère injecté dans l'en-tête Host — 325M téléchargements Starlette/semaine à risque, fenêtre d'exposition de 4 mois (jan.–mai 2026). Chaîne SSRF Pydantic AI (CVE-2026-25580 + CVE-2026-46678), bypass validation ormar (CVE-2026-27953), typosquat fastar & pièges d'injection de dépendances async. Guide de durcissement production complet.
Databases Bases de donnéesPostgreSQL & Database Dependency Security in 2026: psycopg2 Supply Chain Risks, Prisma ORM Injection & SQLAlchemy Hardening Guide
Sécurité des Dépendances Base de Données en 2026 : Risques Supply Chain psycopg2, Injection ORM Prisma & Guide Durcissement SQLAlchemy
psycopg2-binary bundles OpenSSL invisibly — bypassing OS-level CVE patching and your scanner. Prisma ORM is vulnerable to operator injection (findFirst auth bypass via {“not”: “”}) and plORMbing time-based attacks by elttam. SQLAlchemy f-string queries silently bypass parameterization. 28.65M hardcoded secrets on GitHub in 2025: database credentials are the top target. Complete hardening guide for psycopg2, asyncpg, Prisma & SQLAlchemy.
psycopg2-binary bundle OpenSSL de façon invisible — contournant le patching CVE au niveau OS et votre scanner. Prisma ORM est vulnérable à l’injection d’opérateurs (bypass auth findFirst via {“not”: “”}) et aux attaques plORMbing d’elttam. Les f-strings SQLAlchemy contournent silencieusement la paramétrisation. 28,65M de secrets hardcodés sur GitHub en 2025 : les credentials de base de données sont la première cible. Guide de durcissement complet pour psycopg2, asyncpg, Prisma & SQLAlchemy.
Python Security Vulnerabilities in 2026: CVE-2026-3298 asyncio, BadHost (Starlette) & tarfile Bypass Guide
Vulnérabilités Sécurité Python en 2026 : CVE-2026-3298 asyncio, BadHost (Starlette) & Bypass tarfile
CVE-2026-3298 (CVSS 8.8) triggers out-of-bounds writes in asyncio on all Windows Python 3.11+ deployments. CVE-2026-48710 BadHost bypasses FastAPI & LiteLLM auth via a single injected character in the Host header — 325M Starlette downloads/week at risk. Python 3.11 EOL October 2026. tarfile filter bypass (CVE-2025-4517) & full hardening guide.
CVE-2026-3298 (CVSS 8.8) déclenche des écritures hors limites dans asyncio sur tous les déploiements Windows Python 3.11+. CVE-2026-48710 BadHost contourne l’auth FastAPI & LiteLLM via un caractère injecté dans l’en-tête Host — 325M téléchargements Starlette/semaine exposés. Python 3.11 EOL octobre 2026. Bypass filtre tarfile (CVE-2025-4517) & guide durcissement complet.
Python Pythonpip-audit vs Safety CLI vs OSV-Scanner in 2026: Python Dependency Security Tools Compared & CI/CD Guide
pip-audit vs Safety CLI vs OSV-Scanner en 2026 : Comparaison des Outils de Sécurité Python & Guide CI/CD
270K+ known vulnerabilities linked to PyPI versions in 2025. Full 2026 comparison of pip-audit 2.10.0 (PEP 751 lockfile support), Safety CLI 3.7.0 (freemium, 3× broader database), and OSV-Scanner V2 (polyglot, SARIF, container scanning) — with GitHub Actions recipes and PyPI Trusted Publishers guide.
270K+ vulnérabilités connues liées aux versions PyPI en 2025. Comparaison complète 2026 de pip-audit 2.10.0 (support lockfile PEP 751), Safety CLI 3.7.0 (freemium, base 3× plus large) et OSV-Scanner V2 (polyglotte, SARIF, scan containers) — avec recettes GitHub Actions et guide PyPI Trusted Publishers.
Python Pythonpip-audit & Poetry Security in 2026: CVE-2026-34591, pylock.toml & PyPI Trusted Publishers
Sécurité pip-audit & Poetry en 2026 : CVE-2026-34591, pylock.toml & PyPI Trusted Publishers
CVE-2026-34591 (CVSS 7.1) lets crafted wheels overwrite arbitrary files via Poetry’s wheel installer (Poetry 1.4.0–2.3.2). pip-audit 2.9.0 adds PEP 751 pylock.toml support. 132K+ PyPI packages now have provenance attestations. Full CI/CD integration guide.
CVE-2026-34591 (CVSS 7.1) permet à des wheels craftées d’écraser des fichiers arbitraires via l’installeur Poetry (1.4.0–2.3.2). pip-audit 2.9.0 ajoute le support PEP 751 pylock.toml. Plus de 132K packages PyPI ont des attestations de provenance. Guide CI/CD complet.
Python PythonPython Requests & urllib3 Security in 2026: CVE-2025-66471, CVE-2026-21441 & The Decompression Bomb Chain
Sécurité Python Requests & urllib3 en 2026 : CVE-2025-66471, CVE-2026-21441 & La Chaîne des Bombes de Décompression
CVE-2025-66471 (CVSS 8.9) crashes Python apps via decompression bombs in the streaming API. CVE-2026-21441 (CVSS 7.5) bypasses the fix via HTTP redirects — urllib3 2.6.0–2.6.2 users still affected. 200M+ downloads/week. Full upgrade guide, vulnerable code patterns, and SSRF defense.
CVE-2025-66471 (CVSS 8.9) crashe les apps Python via des bombes de décompression dans l’API streaming. CVE-2026-21441 (CVSS 7.5) contourne le correctif via les redirections HTTP — urllib3 2.6.0–2.6.2 toujours affecté. 200M+ téléchargements/semaine. Guide de mise à niveau complet, patterns vulnérables et défense SSRF.
Python PythonDjango ORM Security in 2026: SQL Injection via QuerySet, CVE-2025-64459 & How to Harden Your App
Sécurité ORM Django en 2026 : Injection SQL via QuerySet, CVE-2025-64459 & Guide de Durcissement
CVE-2025-64459 (CVSS 9.1) lets attackers bypass auth via Django’s filter() — no raw SQL needed. CVE-2026-1312 injects via order_by() + FilteredRelation. Django 4.2 LTS is now end-of-life. Full ORM security guide with vulnerable patterns, patched versions, and automated detection.
CVE-2025-64459 (CVSS 9.1) permet de contourner l’auth via filter() de Django — sans SQL brut. CVE-2026-1312 injecte via order_by() + FilteredRelation. Django 4.2 LTS est en fin de vie. Guide complet avec patterns vulnérables, versions corrigées et détection automatisée.
Setuptools & pip Security Vulnerabilities in 2026: Directory Traversal, RCE & Bundled Risks
Vulnérabilités Setuptools & pip en 2026 : Directory Traversal, RCE & risques bundlés
CVE-2025-47273 (CVSS 7.7) and CVE-2024-6345 (CVSS 8.8) in setuptools. Python 3.12 bundles both vulnerabilities. Why pip install executes arbitrary code by design, and how to protect your projects.
CVE-2025-47273 (CVSS 7.7) et CVE-2024-6345 (CVSS 8.8) dans setuptools. Python 3.12 bundle les deux vulnérabilités. Pourquoi pip install exécute du code arbitraire par conception, et comment protéger vos projets.
Python PythonPyPI Supply Chain Attacks 2026: Inside the TeamPCP Campaign
Attaques Supply Chain PyPI 2026 : La campagne TeamPCP
TeamPCP hijacked Trivy, Checkmarx, and LiteLLM on PyPI in March 2026 — 95M downloads/month, credentials stolen in 40 minutes. Full timeline and defenses.
TeamPCP a piraté Trivy, Checkmarx et LiteLLM sur PyPI en mars 2026 — 95M de téléchargements/mois, identifiants volés en 40 minutes. Chronologie complète et défenses.
Django DjangoDjango Security Vulnerabilities 2026: 6 CVEs in One Day
Vulnérabilités Django 2026 : 6 CVE en une seule release
Django patched 3 SQL injection CVEs rated HIGH in a single February 2026 release. Complete analysis, affected versions, and how to monitor your Django stack automatically.
Django a corrigé 3 injections SQL de sévérité HIGH en une seule release de février 2026. Analyse complète, versions affectées, et comment monitorer votre stack Django automatiquement.
Python PythonWhy pip audit Alone Won't Protect Your Production
Pourquoi pip audit seul ne protégera pas votre production
pip audit checks known vulnerabilities, but it only runs when you remember to. Learn why continuous monitoring is essential for production Python applications and how to set it up.
pip audit vérifie les vulnérabilités connues, mais uniquement quand vous y pensez. Découvrez pourquoi le monitoring continu est essentiel pour les applications Python en production et comment le mettre en place.
Python PythonPoetry.lock Security: A Complete Guide
Sécurité de Poetry.lock : le guide complet
Poetry's lockfile pins exact versions, but does that make you safe? We break down how CVEs can still affect locked dependencies and what monitoring strategies to adopt.
Le lockfile de Poetry fixe les versions exactes, mais est-ce suffisant ? Nous détaillons comment les CVE peuvent toujours affecter vos dépendances verrouillées et quelles stratégies de monitoring adopter.
Monitor your dependencies automatically
Surveillez vos dépendances automatiquement
Upload your lockfiles and get instant CVE alerts. No code access required.
Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.
Start your 14-day free trial Demarrer l'essai gratuit 14 jours