Katalog CVE

CVE-2025-43859

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

h11 to implementacja HTTP/1.1 w Pythonie. Przed wersją 0.16.0, luźne podejście h11 do analizy terminatorów linii w ciałach wiadomości kodowanych w chunked może prowadzić do podatności na smuggling żądań w określonych warunkach. Problem został naprawiony w wersji 0.16.0.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do danych lub manipulacji żądaniami w organizacji. Wymaga to jednak połączenia wadliwej wersji h11 z wadliwym (odwróconym) proxy.

Rekomendacja

Zaleca się aktualizację h11 do wersji 0.16.0 lub naprawę wadliwego proxy, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

h11 is a Python implementation of HTTP/1.1. Prior to version 0.16.0, a leniency in h11's parsing of line terminators in chunked-coding message bodies can lead to request smuggling vulnerabilities under certain conditions. This issue has been patched in version 0.16.0. Since exploitation requires the combination of buggy h11 with a buggy (reverse) proxy, fixing either component is sufficient to mitigate this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS