یک آسیبپذیری با شناسه CVE-2024-24762 و شدت 7.5 در FastAPI شناسایی شده است. FastAPI یک فریمورک وب برای ساخت API با پایتون نسخه 3.8 و بالاتر است. زمان استفاده از دادههای فرم، python-multipart از یک عبارت منظم (Regular Expression) برای تجزیه هدر `HTTP `Content-Type استفاده میکند. مهاجم میتواند گزینه سفارشی Content-Type را ارسال کند که پردازش آن برای RegEx بسیار دشوار است، منابع CPU را مصرف میکند و به طور نامحدود در حالی که حلقه رویداد اصلی را نگه میدارد، متوقف میشود. این بدان معناست که فرآیند نمیتواند درخواستهای بیشتری را انجام دهد. در این صورت حمله ReDoS شکل گرفته و تنها برای کسانی که اطلاعات فرم را با python-multipart میخوانند کاربرد دارد.
محصولات تحتتأثیر
نسخههای 0.109.0 و قبل از آن ابزار FastAPI در معرض این آسیبپذیری قرار دارند.
توصیههای امنیتی
بهروزرسانی به نسخه 0.109.1 جهت رفع آسیبپذیری فوق، توصیه میشود.
منبع خبر:
- 32