一、 漏洞 CVE-2024-52581 基础信息
漏洞标题
Litestar存在资源消耗型拒绝服务漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Litestar 是一个异步服务器网关接口(ASGI)框架。在 2.13.0 版本之前,Litestar 配套的多部分表单解析器期望整个请求体作为一个单一的字节字符串,并且没有对请求体总大小的默认限制。这允许攻击者通过上传任意大型文件(封装在 `multipart/form-data` 请求中),从而导致服务器内存消耗过大。受影响版本中的多部分表单解析器由于设计原因,容易受到此类攻击。公开的方法签名及其实现都期望整个请求体作为一个单一的字节字符串存在。使用此解析器无法安全地接受大型文件上传。这可能是一个回归问题,因为 CVE-2023-25578 已经报告过类似问题。仅限制部分数量不足以防止服务器出现内存耗尽错误。此问题在 2.13.0 版本中已被修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
不加限制或调节的资源分配
来源:AIGC 神龙大模型
漏洞标题
Litestar allows unbounded resource consumption (DoS vulnerability)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Litestar is an Asynchronous Server Gateway Interface (ASGI) framework. Prior to version 2.13.0, the multipart form parser shipped with litestar expects the entire request body as a single byte string and there is no default limit for the total size of the request body. This allows an attacker to upload arbitrary large files wrapped in a `multipart/form-data` request and cause excessive memory consumption on the server. The multipart form parser in affected versions is vulnerable to this type of attack by design. The public method signature as well as its implementation both expect the entire request body to be available as a single byte string. It is not possible to accept large file uploads in a safe way using this parser. This may be a regression, as a variation of this issue was already reported in CVE-2023-25578. Limiting the part number is not sufficient to prevent out-of-memory errors on the server. A patch is available in version 2.13.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Litestar 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Litestar是Litestar开源的一个强大、灵活但固执己见的 ASGI 框架。 Litestar 2.13.0之前版本存在安全漏洞,该漏洞源于请求主体的总大小没有默认限制,允许攻击者上传任意大文件,并导致服务器内存消耗过大。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52581 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-52581 的情报信息

  • 标题: litestar/litestar/_multipart.py at main · litestar-org/litestar · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    litestar/litestar/_multipart.py at main · litestar-org/litestar · GitHub

  • 标题: Unbounded resource consumption (DoS vulnerability) · Advisory · litestar-org/litestar · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Unbounded resource consumption (DoS vulnerability) · Advisory · litestar-org/litestar · GitHub

  • 标题: DoS vulnerability when parsing multipart request body · Advisory · litestar-org/litestar · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    DoS vulnerability when parsing multipart request body · Advisory · litestar-org/litestar · GitHub

  • 标题: Page not found · GitHub · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Page not found · GitHub · GitHub

  • 标题: Merge commit from fork · litestar-org/litestar@53c1473 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Merge commit from fork · litestar-org/litestar@53c1473 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-52581