The FastAPI Expertのpython-multipartにおける複数の脆弱性
| Title |
The FastAPI Expertのpython-multipartにおける複数の脆弱性
|
| Summary |
Python-MultipartはPython向けのストリーミングmultipartパーサーです。バージョン0.0.30より前では、application/x-www-form-urlencodedのボディを解析する際に、QuerystringParserがフィールドセパレータを2段階で検出していました。まず、残りのバッファ全体を&でスキャンし、&がどこにも存在しない場合にのみ;のスキャンに切り替えていました。;をセパレータとして使い、&を含まないボディの場合は、各フィールドの処理ごとに全残りバッファに対して失敗した&のフルスキャンが行われ、その後近くの;を検出していました。チャンクサイズB内にN個のセミコロン区切りフィールドがあると、チャンクあたりO(B^2)のバイト比較が発生します。攻撃者はa;a;a;...のような小さい悪意あるボディを送信し、パーサーをリクエストごとに数秒間CPUを消費させることが可能です。複数の同時リクエストによってワーカープロセスが枯渇する恐れがあります。この脆弱性はバージョン0.0.30で修正されました。
|
| Possible impacts |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 22, 2026, midnight |
| Registration Date |
June 29, 2026, 11:13 a.m. |
| Last Update |
June 29, 2026, 11:13 a.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Affected System
| The FastAPI Expert |
|
python-multipart 0.0.30 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月29日]
掲載 |
June 29, 2026, 11:13 a.m. |
NVD Vulnerability Information
CVE-2026-53539
| Summary |
Python-Multipart is a streaming multipart parser for Python. Prior to 0.0.30, when parsing application/x-www-form-urlencoded bodies, QuerystringParser located the field separator with a two step lookup: it first scanned the entire remaining buffer for &, and only when no & existed anywhere ahead did it fall back to scanning for ;. For a body that uses ; as the separator and contains no &, every field iteration performed a full failed & scan over the entire remaining buffer before locating the nearby ;. With N semicolon separated fields in a chunk of size B, this yields O(B^2) byte comparisons per chunk. An attacker can submit a small crafted body of the form a;a;a;... and cause the parser to spend seconds of CPU per request. A handful of concurrent requests can exhaust worker processes. This vulnerability is fixed in 0.0.30.
|
| Publication Date |
June 23, 2026, 3:16 a.m. |
| Registration Date |
June 27, 2026, 4:10 a.m. |
| Last Update |
June 27, 2026, 4:50 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:fastapiexpert:python-multipart:*:*:*:*:*:python:*:* |
|
|
|
0.0.30 |
Related information, measures and tools
Common Vulnerabilities List