CVE-2026-25480

Nome do Software Vulnerável e Versões Afetadas Versões do Litestar anteriores a 2.20.0

Descrição O Litestar é um framework de Interface de Gateway de Servidor Assíncrono (ASGI). Quando o FileStore é utilizado como backend de cache de respostas, um atacante remoto não autenticado pode provocar colisões de chaves de cache por meio de caminhos manipulados. Isso resulta em uma URL veicular respostas em cache de outra, levando ao envenenamento de cache ou confusão. O problema ocorre porque o FileStore mapeia chaves de cache para nomes de arquivos usando normalização Unicode NFKD e substituição via ord() sem separadores, criando colisões de chaves. Especificamente, caracteres como "-" e "k-" podem normalizar para "k45", e o sinal de Kelvin "K" pode normalizar para "K", causando colisões. A chave de cache padrão inclui o caminho da requisição e parâmetros de consulta ordenados, os quais são controlados pelo atacante.

Recomendações Versões anteriores a 2.20.0 devem ser atualizadas para a versão 2.20.0 ou posterior.