CVE-2024-49767

Nome do software vulnerável e versões afetadas:

Versões do Werkzeug anteriores à 3.0.6

Descrição:

Aplicativos que utilizam werkzeug.formparser.MultiPartParser para analisar solicitações multipart/form-data estão vulneráveis a um ataque de esgotamento de recursos relativamente simples, mas eficaz. Uma solicitação de envio de formulário criada especificamente para esse fim pode fazer com que o analisador aloque e bloqueie de 3 a 8 vezes o tamanho do upload na memória principal. Não há limite máximo; um único upload a 1 Gbit/s pode esgotar 32 GB de RAM em menos de 60 segundos.

Recomendações:

Para versões anteriores à 3.0.6, atualize para a versão 3.0.6 do Werkzeug para corrigir o problema.

Como solução temporária, considere definir Request.max form memory size para limitar os recursos usados durante uma solicitação.

Além disso, considere definir Request.max content length e os limites de recursos fornecidos pelo software e pelas plataformas de implantação para limitar os recursos usados durante uma solicitação.