PT-2026-41956 · Pypi · Idna
Stanfromireland
·
Publicado
2026-05-19
·
Atualizado
2026-06-05
·
CVE-2026-45409
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
idna versões anteriores a 3.14
Descrição
Um argumento especialmente elaborado passado para a função
idna.encode() pode consumir recursos significativos do sistema, levando potencialmente a uma negação de serviço (DoS). Isso ocorre porque payloads contendo caracteres específicos, como "u0660" * N ou "u30fb" * N + "u6f22", utilizam a função valid contexto() antes que a rejeição por comprimento ocorra. Para valores altos de N, o tempo de processamento aumenta significativamente.Recomendações
Atualize para a versão 3.14 ou posterior para garantir que entradas longas sejam rejeitadas antes do processamento.
Como solução temporária, aplique um limite de comprimento de nome de domínio de 253 caracteres antes de passar a entrada para a função
idna.encode().Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Idna