CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-43859

Critical
Published: Translated: NVD NIST

Summary

h11 to implementacja HTTP/1.1 w Pythonie. Przed wersją 0.16.0, luźne podejście h11 do analizy terminatorów linii w ciałach wiadomości kodowanych w chunked może prowadzić do podatności na smuggling żądań w określonych warunkach. Problem został naprawiony w wersji 0.16.0.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do danych lub manipulacji żądaniami w organizacji. Wymaga to jednak połączenia wadliwej wersji h11 z wadliwym (odwróconym) proxy.

Recommendation

Zaleca się aktualizację h11 do wersji 0.16.0 lub naprawę wadliwego proxy, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

h11 is a Python implementation of HTTP/1.1. Prior to version 0.16.0, a leniency in h11's parsing of line terminators in chunked-coding message bodies can lead to request smuggling vulnerabilities under certain conditions. This issue has been patched in version 0.16.0. Since exploitation requires the combination of buggy h11 with a buggy (reverse) proxy, fixing either component is sufficient to mitigate this issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS