CVE-2024-10907

Nome do Software Vulnerável e Versões Afetadas lm-sys/fastchat versões 0.2.36 e anteriores

Descrição O servidor falha ao processar caracteres excessivos anexados ao final dos delimitadores multipart. Essa falha pode ser explorada enviando solicitações multipart malformadas com caracteres arbitrários ao final do delimitador, levando ao consumo excessivo de recursos e a uma negação de serviço (DoS) completa para todos os usuários. A vulnerabilidade não requer autenticação, o que significa que nenhum login ou interação do usuário é necessário para que um atacante a explore.

Recomendações Para as versões 0.2.36 e anteriores, considere desabilitar o processamento de solicitações multipart até que um patch esteja disponível para prevenir o consumo excessivo de recursos. Restrinja o acesso ao servidor para minimizar o risco de exploração. Evite utilizar o mecanismo vulnerável de tratamento de delimitadores multipart no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.