Se ha identificado una vulnerabilidad de desbordamiento de memoria en la implementación de asyncio para Windows en Python, permitiendo a atacantes realizar escrituras fuera de los límites a través de una falta de validación en operaciones con sockets de red. Registrada como CVE-2026-3298 y de alta severidad, afecta exclusivamente plataformas Windows y puede derivar en corrupción de memoria, bloqueo de la aplicación o ejecución arbitraria de código.
CVE y severidad
| CVE | Severidad | Componente afectado | Plataformas | Fecha de divulgación |
|---|---|---|---|---|
| CVE-2026-3298 | Alta | asyncio.proactorEventLoop.sock_recvfrom_into() | Windows | 21 de abril de 2026 |
Productos afectados
Solo las aplicaciones de red basadas en asyncio de Python que se ejecutan en Windows usando el evento nativo ProactorEventLoop y que utilizan el parámetro nbytes en la función sock_recvfrom_into() son vulnerables. Plataformas Linux y macOS no están afectadas.
Solución
Actualizar Python a la última versión parcheada que corrige esta vulnerabilidad.
Recomendaciones
Priorizar la actualización inmediata de Python en entornos Windows que usen asyncio con sockets; revisar el uso del parámetro nbytes en sock_recvfrom_into() para evitar exposiciones. La validación cuidadosa y el monitoreo constante del CVE son esenciales para mitigar riesgos.