Ich kann nicht ganz nachvollziehen wie das CERT Bund hier zu einer CVSS von 8.6 kommt - die einzelnen CVEs in den Python Libs sind schon schwierig bis gar nicht auszunutzen, 3 davon sind vom Hersteller/der OSS Community disputed, weil nur im Dev-Mode oder als priviligierter Nutzer ausnutzbar. Aber so unspezifisch wie es das CERT Bund formuliert wurde da vmtl auch nicht viel Zeit in die Analyse investiert.