Katalog CVE

CVE-2026-53540

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

W bibliotece Python-Multipart przed wersją 0.0.31 funkcja parse_form() nie walidowała nagłówka Content-Length przed użyciem go do ograniczenia odczytu treści żądania. Ujemna wartość Content-Length powodowała odczyt całego ciała żądania do pamięci zamiast w stałych fragmentach.

Ocena ryzyka

Atakujący może wysłać żądanie z ujemnym nagłówkiem Content-Length, co prowadzi do nadmiernego zużycia pamięci i potencjalnego wyczerpania zasobów serwera (atak DoS).

Rekomendacja

Należy zaktualizować bibliotekę Python-Multipart do wersji 0.0.31 lub nowszej, która zawiera poprawkę walidującą nagłówek Content-Length.

Oryginalny opis (angielski, źródło NVD)

Python-Multipart is a streaming multipart parser for Python. Prior to 0.0.31, parse_form() did not validate the Content-Length header before using it to bound its chunked read of the request body. A negative Content-Length turned the bounded read into a read-until-EOF, so the entire body was loaded into memory in a single read instead of in fixed-size chunks. This vulnerability is fixed in 0.0.31.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS