CVE-2026-24486

Nome do Software Vulnerável e Versões Afetadas Python-Multipart versões anteriores a 0.0.22

Descrição O Python-Multipart é um analisador multipart de streaming para Python. Existe um problema de Travessia de Caminho ao utilizar as opções de configuração não padrão UPLOAD DIR e UPLOAD KEEP FILENAME=True. Um atacante pode gravar arquivos carregados em locais arbitrários do sistema de arquivos ao criar um nome de arquivo malicioso. O problema ocorre porque a biblioteca constrói o caminho do arquivo usando os.path.join(), e se o nome do arquivo começar com '/', todos os componentes de caminho anteriores são descartados. Isso permite contornar o diretório de upload pretendido e gravar arquivos em caminhos arbitrários. A vulnerabilidade está presente apenas se UPLOAD DIR estiver configurado, UPLOAD KEEP FILENAME estiver definido como True e o arquivo carregado exceder MAX MEMORY FILE SIZE.

Recomendações Atualize para a versão 0.0.22. Alternativamente, evite usar UPLOAD KEEP FILENAME=True nas configurações do projeto.