Все бюллетени/sisyphus/ALT-PU-2024-2022-4
ALT-PU-2024-2022-4

Обновление пакета python3-module-fastapi в ветке sisyphus

Версия0.109.2-alt1
Задание#340153
Опубликовано2026-02-05
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (3)

BDU:2025-01435
HIGH7.5

Уязвимость потокового многокомпонентного парсера python-multipart, связанная с неэффективной сложностью регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-02-12Изменено: 2026-01-30
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
Ссылки
CVE-2024-24762
HIGH7.5

`python-multipart` is a streaming multipart parser for Python. When using form data, `python-multipart` uses a Regular Expression to parse the HTTP `Content-Type` header, including options. An attacker could send a custom-made `Content-Type` option that is very difficult for the RegEx to process, consuming CPU resources and stalling indefinitely (minutes or more) while holding the main event loop. This means that process can't handle any more requests, leading to regular expression denial of service. This vulnerability has been patched in version 0.0.7.

Опубликовано: 2024-02-05Изменено: 2025-05-05
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
GHSA-2jv5-9r88-3w3p
HIGH7.5

python-multipart vulnerable to Content-Type Header ReDoS

Опубликовано: 2024-02-12Изменено: 2026-04-03
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки