CVE-2024-53981

Nome do software vulnerável e versões afetadas:

versões do python-multipart anteriores à 0.0.18

Descrição:

O problema surge durante a análise de dados de formulário, pois o python-multipart ignora as quebras de linha antes do primeiro delimitador e quaisquer bytes finais após o último delimitador, um byte de cada vez, gerando um evento de log a cada vez. Isso pode causar um registro excessivo de logs para determinadas entradas. Um invasor poderia explorar isso enviando uma solicitação maliciosa com muitos dados antes do primeiro ou após o último delimitador, causando alta carga na CPU e paralisando a thread de processamento. No caso de um aplicativo ASGI, isso poderia paralisar o loop de eventos e impedir que outras solicitações fossem processadas, resultando em uma negação de serviço.

Recomendações:

Para versões do python-multipart anteriores à 0.0.18, atualize para a versão 0.0.18 para resolver o problema. Como solução temporária, considere restringir a quantidade de dados que podem ser enviados antes do primeiro ou após o último limite para minimizar o risco de exploração.