python · python-multipartCrítico
python-multipart: DoS via quadratic-time parsing em QuerystringParser
QuerystringParser em python-multipart realizava varredura de tempo quadrático para separadores de campo em corpos application/x-www-form-urlencoded, causando negação de serviço via entrada maliciosa.
O que mudou
QuerystringParser em python-multipart realizava varredura de tempo quadrático para separadores de campo em corpos application/x-www-form-urlencoded, causando negação de serviço via entrada maliciosa. Corrigido na versão 0.0.30 usando apenas '&' como separador com varredura linear.
Quem isso afeta
Todos os usuários de python-multipart, incluindo aplicações Starlette e FastAPI que analisam dados de formulário url-encoded via request.form().
O que fazer hoje
Atualize python-multipart para a versão 0.0.30 ou superior imediatamente.
A esteira
Coletado→
Auditado→
Redigido→
Publicado