PT-2025-12079 · Unknown · Lm-Sys/Fastchat

Publicado

2025-03-20

Atualizado

2025-03-21

CVE-2024-10912

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Nome do Software Vulnerável e Versões Afetadas lm-sys/fastchat versão 0.2.36

Descrição Existe uma vulnerabilidade de Negação de Serviço (DoS) na funcionalidade de upload de arquivos devido ao tratamento inadequado de form-data com um nome de arquivo grande na solicitação de upload de arquivos. Um atacante pode explorar essa falha enviando um payload com um nome de arquivo excessivamente grande, causando sobrecarga no servidor e tornando-o indisponível para usuários legítimos.

Recomendações Para a versão 0.2.36, considere restringir o tamanho dos nomes de arquivos permitidos na funcionalidade de upload de arquivos para prevenir a exploração até que um patch esteja disponível. Como medida temporária (workaround), limitar o acesso à funcionalidade de upload de arquivos também pode ajudar a minimizar o risco de exploração.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

CVE-2024-10912

GHSA-79RP-V9RM-GXM8

Produtos afetados

Lm-Sys/Fastchat

PT-2025-12079 · Unknown · Lm-Sys/Fastchat

CVE-2024-10912

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7