CVE-2026-53538
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Python-Multipart przed wersją 0.0.30 błędnie traktował średnik (;) jako separator pól w ciałach żądań typu application/x-www-form-urlencoded, podczas gdy standard WHATWG i nowoczesne przeglądarki uznają tylko znak &. Ta różnica w parsowaniu umożliwia atakującemu przemycenie dodatkowych pól formularza obok komponentu sprawdzającego ciało żądania.
Ocena ryzyka
Organizacja może być narażona na ataki polegające na przemycaniu pól formularza, co może prowadzić do ominięcia mechanizmów bezpieczeństwa, takich jak walidacja danych wejściowych lub kontrola dostępu.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Python-Multipart do wersji 0.0.30 lub nowszej, która zawiera poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Python-Multipart is a streaming multipart parser for Python. Prior to 0.0.30, QuerystringParser treated ; as a field separator in application/x-www-form-urlencoded bodies, in addition to &. The WHATWG URL standard, modern browsers, and Python's urllib.parse (since the CVE-2021-23336 fix) treat only & as a separator. This creates a parser differential: the same bytes are tokenized into different fields than a WHATWG compliant intermediary would produce, allowing an attacker to smuggle extra form fields past an upstream body inspecting component. This vulnerability is fixed in 0.0.30.

