CVE-2026-44432

Nome do Software Vulnerável e Versões Afetadas urllib3 versões 2.6.0 até 2.6.x

Descrição Existe um problema na API de streaming onde a biblioteca pode descompactar a resposta HTTP completa em vez da parte solicitada. Isso ocorre em dois cenários: durante a segunda chamada de HTTPResponse.read(amt=N) ao usar a biblioteca Brotli oficial para descompactação, ou quando HTTPResponse.drain conn() é chamado após uma resposta ter sido parcialmente lida e descompactada. Esse comportamento pode levar ao consumo excessivo de recursos no lado do cliente, especificamente alto uso de CPU e alocação massiva de memória, ao processar pequenas quantidades de dados altamente compactados.

Recomendações Atualize para a versão 2.7.0. Como alternativa temporária para o problema específico do Brotli, altere a biblioteca brotli para brotlicffi. Como alternativa temporária, chame HTTPResponse.close() em vez de HTTPResponse.drain conn() quando a reutilização da conexão não for necessária.