CVE-2026-54283
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność w frameworku Starlette od wersji 0.4.1 do 1.3.1 powoduje, że limity max_fields i max_part_size dla request.form() są stosowane tylko dla multipart/form-data, ale ignorowane dla application/x-www-form-urlencoded. Nieuwierzytelniony atakujący może wysłać ciało żądania z dowolnie dużą liczbą pól lub dowolnie dużym polem, omijając skonfigurowane ograniczenia.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu DoS (Denial of Service) poprzez wyczerpanie zasobów serwera (pamięci, CPU) przez wysłanie złośliwego żądania urlencoded z nadmierną liczbą pól lub zbyt dużym polem.
Rekomendacja
Należy niezwłocznie zaktualizować Starlette do wersji 1.3.1 lub nowszej, która zawiera poprawkę usuwającą tę lukę.
Oryginalny opis (angielski, źródło NVD)
Starlette is a lightweight ASGI framework/toolkit. From 0.4.1 until 1.3.1, request.form() accepts max_fields and max_part_size to bound resource consumption while parsing form data. These limits are enforced for multipart/form-data, but silently ignored for application/x-www-form-urlencoded. An unauthenticated attacker can therefore send a urlencoded body with an arbitrarily large number of fields or an arbitrarily large field, even when the application configured limits it believed would apply. This vulnerability is fixed in 1.3.1.

