一、 漏洞 CVE-2024-53981 基础信息
漏洞标题
python-multipart存在拒绝服务漏洞(通过变形`multipart/form-data`边界)
来源:AIGC 神龙大模型
漏洞描述信息
python-multipart 是一个用于 Python 的流式多部分解析器。在解析表单数据时,python-multipart 会跳过第一个边界前的换行符(CR \r 或 LF \n)以及最后一个边界后的尾部字节。这一过程是逐字节进行的,并且每次都会触发日志事件,对于某些输入可能会导致日志记录过多。攻击者可以通过发送恶意请求,在第一个边界前或最后一个边界后包含大量数据,从而导致 CPU 负载过高,并使处理线程停滞一段时间。对于 ASGI 应用程序,这可能会停滞事件循环,阻止其他请求的处理,从而导致拒绝服务(DoS)攻击。此漏洞在 0.0.18 版本中被修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
python-multipart has a Denial of service (DoS) via deformation `multipart/form-data` boundary
来源:美国国家漏洞数据库 NVD
漏洞描述信息
python-multipart is a streaming multipart parser for Python. When parsing form data, python-multipart skips line breaks (CR \r or LF \n) in front of the first boundary and any tailing bytes after the last boundary. This happens one byte at a time and emits a log event each time, which may cause excessive logging for certain inputs. An attacker could abuse this by sending a malicious request with lots of data before the first or after the last boundary, causing high CPU load and stalling the processing thread for a significant amount of time. In case of ASGI application, this could stall the event loop and prevent other requests from being processed, resulting in a denial of service (DoS). This vulnerability is fixed in 0.0.18.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
python-multipart 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
python-multipart是Marcelo Trylesinski个人开发者的一个Python的流式多部分解析器。 python-multipart 0.0.18之前版本存在安全漏洞,该漏洞源于处理表单数据时对边界前后内容的不当处理及过度日志记录,可能导致攻击者通过发送特制请求引发高CPU负载和拒绝服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-53981 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-53981 的情报信息