PT-2024-20540 · Pypi+6 · Python-Multipart+6

Parentebf9723

·

Publicado

2024-02-05

·

Atualizado

2026-04-04

·

CVE-2024-24762

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do python-multipart anteriores à 0.0.7
FastAPI versão 0.109.0
Descrição
A vulnerabilidade está relacionada a um ataque de negação de serviço por expressão regular (ReDoS) na biblioteca python-multipart, utilizada pelo FastAPI para analisar dados de formulários. Um invasor pode enviar uma opção Content-Type personalizada que seja difícil de processar pela RegEx, consumindo recursos da CPU e causando uma paralisação indefinida. Isso pode fazer com que o processo não consiga mais lidar com solicitações, levando a uma negação de serviço. A vulnerabilidade só se aplica quando o aplicativo usa dados de formulário analisados com python-multipart.
Recomendações
Para versões do python-multipart anteriores à 0.0.7, atualize para a versão 0.0.7 ou posterior.
Para a versão 0.109.0 do FastAPI, atualize para a versão 0.109.1 ou posterior.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-1333

Identificadores relacionados

ALT-PU-2024-2022
BDU:2025-01435
CVE-2024-24762
GHSA-2JV5-9R88-3W3P
GHSA-93GM-QMQ6-W238
GHSA-QF9M-VFGH-M389
OPENSUSE-SU-2024:13664-1
OPENSUSE-SU-2024:13684-1
PYSEC-2024-38
USN-8027-1

Produtos afetados

Alt Linux
Debian
Fastapi
Linuxmint
Red Os
Ubuntu
Python-Multipart