Vulnerabilidad en FastAPI (CVE-2024-24762)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/02/2024
Última modificación:
17/02/2024
Descripción
FastAPI es un framework web para crear API con Python 3.8+ basado en sugerencias de tipo estándar de Python. Cuando se utilizan datos de formulario, `python-multipart` usa una expresión regular para analizar el encabezado HTTP `Content-Type`, incluidas las opciones. Un atacante podría enviar una opción de "Tipo de contenido" personalizada que es muy difícil de procesar para RegEx, consumiendo recursos de CPU y deteniéndose indefinidamente (minutos o más) mientras se mantiene el bucle de evento principal. Esto significa que el proceso no puede manejar más solicitudes. Es un ReDoS (expresión regular de denegación de servicio), solo se aplica a aquellos que leen datos del formulario usando `python-multipart`. Esta vulnerabilidad ha sido parcheada en la versión 0.109.0.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tiangolo:fastapi:*:*:*:*:*:*:*:* | 0.109.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Kludex/python-multipart/commit/20f0ef6b4e4caf7d69a667c54dff57fe467109a4
- https://github.com/Kludex/python-multipart/security/advisories/GHSA-2jv5-9r88-3w3p
- https://github.com/andrew-d/python-multipart/blob/d3d16dae4b061c34fe9d3c9081d9800c49fc1f7a/multipart/multipart.py#L72-L74
- https://github.com/encode/starlette/commit/13e5c26a27f4903924624736abd6131b2da80cc5
- https://github.com/encode/starlette/security/advisories/GHSA-93gm-qmq6-w238
- https://github.com/tiangolo/fastapi/commit/9d34ad0ee8a0dfbbcce06f76c2d5d851085024fc
- https://github.com/tiangolo/fastapi/releases/tag/0.109.1
- https://github.com/tiangolo/fastapi/security/advisories/GHSA-qf9m-vfgh-m389