PT-2020-5140 · Python+1 · Urllib3+1

CVE-2020-7212

·

Publicado

2020-03-06

·

Atualizado

2026-06-03

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Biblioteca urllib3, versões 1.25.2 a 1.25.7
Descrição
O problema está relacionado a um algoritmo ineficiente na função encode invalid chars, o que pode levar a uma negação de serviço devido ao consumo de CPU. Isso ocorre porque a matriz percent encodings não é desduplicada, resultando em uma complexidade temporal de O(N^2) para uma URL de comprimento N. Se a matriz fosse desduplicada, a complexidade temporal seria reduzida para O(kN), onde k é uma constante. A vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço.
Recomendações
Para as versões 1.25.2 a 1.25.7, considere atualizar para uma versão em que a função encode invalid chars seja otimizada para deduplicar a matriz percent encodings, reduzindo assim a complexidade temporal e mitigando o risco de negação de serviço.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

ALT-PU-2023-7180
BDU:2020-05736
CVE-2020-7212
GHSA-HMV2-79Q8-FV6G
PYSEC-2020-149

Produtos afetados

Alt Linux
Urllib3