Bekkaze

Name of the Vulnerable Software and Affected Versions AIOHTTP versões anteriores a 3.13.4 Description Uma resposta com um número excessivo de cabeçalhos multipart pode permitir o uso de mais memória do que o pretendido, potencialmente levando a uma condição de negação de serviço. Os cabeçalhos multipart não estavam sujeitos às mesmas restrições de tamanho que os cabeçalhos normais, permitindo potencialmente que uma quantidade maior de dados fosse carregada na memória do que o esperado. Recommendations Atualize para a versão 3.13.4 ou posterior.

Name of the Vulnerable Software and Affected Versions AIOHTTP versões anteriores a 3.13.4 Description Anteriormente à versão 3.13.4, o AIOHTTP, um framework assíncrono HTTP cliente/servidor para asyncio e Python, lia todo o campo de formulário multipart para a memória antes de verificar o limite `client max size`. Isso poderia permitir que um invasor causasse alocação temporária significativa de memória, mesmo que a solicitação seja finalmente rejeitada. Recommendations Atualize para a versão 3.13.4 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Poetry versões 1.4.0 através de 2.3.2 **Description** Poetry, um gerenciador de dependências para Python, contém uma falha de travessia de caminho. Um arquivo wheel malicioso pode incluir caminhos '..' que o Poetry grava em disco sem verificações de contenção adequadas. Isso permite a gravação arbitrária de arquivos com as permissões do processo Poetry, impactando potencialmente usuários, sistemas CI/CD e instalações de pacotes maliciosos ou comprometidos. O problema é alcançável durante fluxos normais de instalação a partir de artefatos de pacotes não confiáveis. A vulnerabilidade ocorre porque o Poetry junta diretamente um caminho de entrada de wheel não confiável sem impor uma proteção de estilo resolve() ou is relative to() antes de gravar. **Recommendations** Atualize para a versão 2.3.3 ou posterior do Poetry.

**Name of the Vulnerable Software and Affected Versions** Tornado versions prior to 6.5.5 **Description** Tornado is a Python web framework and asynchronous networking library. In versions prior to 6.5.5, the only limit on the number of parts in `multipart/form-data` requests is the `max body size` setting, which defaults to 100MB. Because parsing of these requests occurs synchronously on the main thread, this can lead to a denial-of-service condition due to the computational cost of processing very large multipart bodies with numerous parts. Tornado 6.5.5 introduces new limits on the size and complexity of multipart bodies, including a default limit of 100 parts per request, configurable through `tornado.httputil.ParseMultipartConfig`. It is also possible to disable `multipart/form-data` parsing entirely if it is not required. **Recommendations** Versions prior to 6.5.5 should be updated to version 6.5.5 or later.

**Nome do Software Vulnerável e Versões Afetadas** pypdf: versões anteriores a 6.7.3 **Descrição** Um arquivo PDF maliciosamente elaborado pode causar uso excessivo de RAM, possivelmente levando ao esgotamento. Isso ocorre ao acessar a propriedade `xfa` de um leitor ou escritor, especificamente quando o fluxo correspondente está comprimido usando `/FlateDecode`. **Recomendações** Atualize para a versão 6.7.3 ou superior. Como alternativa, aplique o patch manualmente.