| Title | The FastAPI Expertのpython-multipartにおける複数の脆弱性 |
|---|---|
| Summary | Python-MultipartはPython用のストリーミングマルチパートパーサーです。0.0.30以前のバージョンでは、parse_options_headerがContent-Disposition(およびContent-Type)ヘッダーをemail.message.Messageで解析しており、これによりRFC 2231/5987のデコードが透過的に適用されていました。拡張パラメータ構文(filename*=charset'lang'value、name*=...、およびfilename*0/filename*1の継続形式)はデコードされ、素のfilename/nameキーの下に表出し、両方が存在する場合は単純なパラメータよりも優先されます。RFC 7578 §4.2はmultipart/form-dataにおけるfilename*形式を明確に禁止しています。RFC 7578に準拠しているコンポーネントや、multipart/form-dataに対してRFC 2231/5987のデコードを実装していないコンポーネント(WAF、プロキシ、ゲートウェイ)は、このようなヘッダーを異なる方法で解釈します。攻撃者はこの違いを悪用して、上流の検査機構をすり抜け、異なるフィールド名やファイル名をバックエンドに密輸出することが可能です。この脆弱性はバージョン0.0.30で修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 22, 2026, midnight |
| Registration Date | June 29, 2026, 11:13 a.m. |
| Last Update | June 29, 2026, 11:13 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| The FastAPI Expert |
| python-multipart 0.0.30 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:13 a.m. |
| Summary | Python-Multipart is a streaming multipart parser for Python. Prior to 0.0.30, parse_options_header parsed Content-Disposition (and Content-Type) headers with email.message.Message, which transparently applies RFC 2231/5987 decoding. The extended parameter syntax (filename*=charset'lang'value, name*=..., and the filename*0/filename*1 continuation form) is decoded and surfaced under the bare filename/name key, and overrides the plain parameter when both are present. RFC 7578 §4.2 explicitly forbids the filename* form in multipart/form-data. Components that follow RFC 7578, or that do not implement RFC 2231/5987 decoding for multipart/form-data (WAFs, proxies, gateways), may interpret such a header differently. An attacker can exploit that difference to smuggle a different field name or filename past an upstream inspector to the backend. This vulnerability is fixed in 0.0.30. |
|---|---|
| Publication Date | June 23, 2026, 3:16 a.m. |
| Registration Date | June 27, 2026, 4:10 a.m. |
| Last Update | June 27, 2026, 4:54 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:fastapiexpert:python-multipart:*:*:*:*:*:python:*:* | 0.0.30 | ||||