Katalog CVE

CVE-2026-54283

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Podatność w frameworku Starlette od wersji 0.4.1 do 1.3.1 powoduje, że limity max_fields i max_part_size dla request.form() są stosowane tylko dla multipart/form-data, ale ignorowane dla application/x-www-form-urlencoded. Nieuwierzytelniony atakujący może wysłać ciało żądania z dowolnie dużą liczbą pól lub dowolnie dużym polem, omijając skonfigurowane ograniczenia.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku typu DoS (Denial of Service) poprzez wyczerpanie zasobów serwera (pamięci, CPU) przez wysłanie złośliwego żądania urlencoded z nadmierną liczbą pól lub zbyt dużym polem.

Rekomendacja

Należy niezwłocznie zaktualizować Starlette do wersji 1.3.1 lub nowszej, która zawiera poprawkę usuwającą tę lukę.

Oryginalny opis (angielski, źródło NVD)

Starlette is a lightweight ASGI framework/toolkit. From 0.4.1 until 1.3.1, request.form() accepts max_fields and max_part_size to bound resource consumption while parsing form data. These limits are enforced for multipart/form-data, but silently ignored for application/x-www-form-urlencoded. An unauthenticated attacker can therefore send a urlencoded body with an arbitrarily large number of fields or an arbitrarily large field, even when the application configured limits it believed would apply. This vulnerability is fixed in 1.3.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS