PT-2020-5140 · Python+1 · Urllib3+1
CVE-2020-7212
·
Publicado
2020-03-06
·
Atualizado
2026-06-03
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Biblioteca urllib3, versões 1.25.2 a 1.25.7
Descrição
O problema está relacionado a um algoritmo ineficiente na função encode invalid chars, o que pode levar a uma negação de serviço devido ao consumo de CPU. Isso ocorre porque a matriz percent encodings não é desduplicada, resultando em uma complexidade temporal de O(N^2) para uma URL de comprimento N. Se a matriz fosse desduplicada, a complexidade temporal seria reduzida para O(kN), onde k é uma constante. A vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço.
Recomendações
Para as versões 1.25.2 a 1.25.7, considere atualizar para uma versão em que a função encode invalid chars seja otimizada para deduplicar a matriz percent encodings, reduzindo assim a complexidade temporal e mitigando o risco de negação de serviço.
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Urllib3