Uma vulnerabilidade de alta severidade no Python foi divulgada com impacto específico sobre sistemas Windows. Registrada como CVE-2026-3298, a falha afeta o método sock_recvfrom_into() em asyncio.ProactorEventLoop e permite gravação fora dos limites do buffer quando o parâmetro nbytes é usado sem a validação adequada do tamanho dos dados recebidos.
O problema foi publicado em 21 de abril de 2026 e recebeu nota 8,8 na base do GitHub Advisory Database, com referência ao NVD. A descrição técnica aponta que plataformas não Windows não são afetadas, o que concentra o risco em aplicações Python que usam o loop de eventos específico do sistema operacional da Microsoft.
Na prática, esse tipo de erro de memória pode levar a corrupção de dados, travamentos e, dependendo do contexto da aplicação, abrir caminho para consequências mais severas. Relatos sobre a falha destacam possibilidade de negação de serviço e risco potencial de execução de código, embora o impacto exato dependa de como o componente vulnerável é empregado pelo software afetado.
O ponto sensível é que asyncio está presente em aplicações modernas de rede, automação e serviços assíncronos. Em ambientes Windows, qualquer software que dependa desse fluxo específico de recepção de dados pode herdar a exposição, especialmente quando manipula entrada remota em alto volume. Essa é uma inferência baseada na função afetada e no escopo descrito pelos avisos técnicos.
Embora o advisory público não liste versões corrigidas diretamente na página resumida, ele referencia commits e discussões do CPython associados ao reparo, além do anúncio de segurança da linguagem. Isso indica que a correção já entrou no fluxo oficial de manutenção e deve ser tratada com prioridade por desenvolvedores e equipes de infraestrutura que empacotam Python em Windows.
A mitigação mais direta é atualizar para releases do Python que incorporem o patch e revisar aplicações que usem asyncio.ProactorEventLoop com operações de rede capazes de acionar sock_recvfrom_into(). Também vale testar serviços críticos em ambientes de homologação antes da promoção para produção, sobretudo em sistemas sensíveis a estabilidade.
