Vulnerabilidad en Litestar (CVE-2024-52581)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/11/2024
Última modificación:
25/11/2024
Descripción
Litestar es un framework de interfaz de puerta de enlace de servidor asincrónico (ASGI). Antes de la versión 2.13.0, el analizador de formularios multiparte que se incluye con litestar espera que todo el cuerpo de la solicitud sea una cadena de un solo byte y no hay un límite predeterminado para el tamaño total del cuerpo de la solicitud. Esto permite que un atacante cargue archivos arbitrarios de gran tamaño envueltos en una solicitud `multipart/form-data` y provoque un consumo excesivo de memoria en el servidor. El analizador de formularios multiparte en las versiones afectadas es vulnerable a este tipo de ataque por diseño. La firma del método público, así como su implementación, esperan que todo el cuerpo de la solicitud esté disponible como una cadena de un solo byte. No es posible aceptar cargas de archivos grandes de forma segura utilizando este analizador. Esto puede ser una regresión, ya que ya se informó de una variación de este problema en CVE-2023-25578. Limitar el número de partes no es suficiente para evitar errores de falta de memoria en el servidor. Hay un parche disponible en la versión 2.13.0.
Impacto
Puntuación base 4.0
8.20
Gravedad 4.0
ALTA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:litestar:litestar:*:*:*:*:*:*:*:* | 2.13.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/litestar-org/litestar/blob/main/litestar/_multipart.py#L97
- https://github.com/litestar-org/litestar/commit/53c1473b5ff7502816a9a339ffc90731bb0c2138
- https://github.com/litestar-org/litestar/security/advisories/GHSA-gjcc-jvgw-wvwj
- https://github.com/litestar-org/litestar/security/advisories/GHSA-p24m-863f-fm6q