一、 漏洞 CVE-2024-47874 基础信息
漏洞标题
Starlette 处理 multipart/form-data时存在拒绝服务漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Starlette 是一个异步服务器网关接口(ASGI)框架/工具包。在 0.40.0 版本之前,Starlette 将未指定 `filename` 的 `multipart/form-data` 部分视为文本表单字段,并以无大小限制的字节字符串进行缓冲。这允许攻击者上传任意大的表单字段,导致 Starlette 由于过量的内存分配和复制操作而显著减速,同时消耗越来越多的内存,直到服务器开始交换并停止响应,或者操作系统因内存不足(OOM)终止服务器进程。并行上传多个此类请求可能足以使服务实际上无法使用,即使在 Starlette 前端通过反向代理实施了合理的请求大小限制。此拒绝服务(DoS)漏洞影响所有使用 Starlette(或 FastAPI)接受表单请求的应用程序。0.40.0 版本修复了此问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
不加限制或调节的资源分配
来源:AIGC 神龙大模型
漏洞标题
Starlette Denial of service (DoS) via multipart/form-data
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Starlette is an Asynchronous Server Gateway Interface (ASGI) framework/toolkit. Prior to version 0.40.0, Starlette treats `multipart/form-data` parts without a `filename` as text form fields and buffers those in byte strings with no size limit. This allows an attacker to upload arbitrary large form fields and cause Starlette to both slow down significantly due to excessive memory allocations and copy operations, and also consume more and more memory until the server starts swapping and grinds to a halt, or the OS terminates the server process with an OOM error. Uploading multiple such requests in parallel may be enough to render a service practically unusable, even if reasonable request size limits are enforced by a reverse proxy in front of Starlette. This Denial of service (DoS) vulnerability affects all applications built with Starlette (or FastAPI) accepting form requests. Verison 0.40.0 fixes this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Starlette 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Starlette是Encode开源的一个轻量级的 ASGI 框架/工具包。非常适合用 Python 构建异步 web 服务。 Starlette 0.40.0版本之前存在安全漏洞,该漏洞源于没有针对用户。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47874 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-47874 的情报信息