python-multipart 通过变形“multipart/form-data”边界存在拒绝服务 (DoS) 漏洞 (CVE-2024-53981)
CVE编号
CVE-2024-53981
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-03
漏洞描述
python-multipart是一个用于Python的流式多部分解析器。在解析表单数据时,python-multipart会跳过第一个边界之前的行尾(CR \r或LF \n)以及最后一个边界之后的尾随字节。这是逐个字节发生的,并且每次都会发出日志事件,对于某些输入可能会导致日志过多。攻击者可能会通过发送包含大量数据在第一个边界之前或最后一个边界之后的恶意请求来利用此漏洞,从而造成高CPU负载并长时间挂起处理线程。在ASGI应用程序的情况下,这可能会阻塞事件循环并阻止其他请求的处理,从而导致拒绝服务(DoS)。此漏洞已在版本0.0.18中修复。
解决建议
"将组件 python-multipart 升级至 0.0.18 及以上版本"
参考链接
https://access.redhat.com/security/cve/CVE-2024-53981
https://github.com/Kludex/python-multipart/commit/c4fe4d3cebc08c660e57dd709af...
https://github.com/Kludex/python-multipart/security/advisories/GHSA-59g5-xgcq-4qw3
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 fedora_40 python-multipart * Up to
(excluding)
0.0.19-1.fc40
运行在以下环境
系统 fedora_41 python-python-multipart * Up to
(excluding)
0.0.19-1.fc41
文章评论