製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

The FastAPI Expertのpython-multipartにおける複数の脆弱性

タイトル	The FastAPI Expertのpython-multipartにおける複数の脆弱性
概要	Python-MultipartはPython用のストリーミングマルチパートパーサーです。0.0.30以前のバージョンでは、parse_options_headerがContent-Disposition（およびContent-Type）ヘッダーをemail.message.Messageで解析しており、これによりRFC 2231/5987のデコードが透過的に適用されていました。拡張パラメータ構文（filename=charset'lang'value、name=...、およびfilename0/filename1の継続形式）はデコードされ、素のfilename/nameキーの下に表出し、両方が存在する場合は単純なパラメータよりも優先されます。RFC 7578 §4.2はmultipart/form-dataにおけるfilename*形式を明確に禁止しています。RFC 7578に準拠しているコンポーネントや、multipart/form-dataに対してRFC 2231/5987のデコードを実装していないコンポーネント（WAF、プロキシ、ゲートウェイ）は、このようなヘッダーを異なる方法で解釈します。攻撃者はこの違いを悪用して、上流の検査機構をすり抜け、異なるフィールド名やファイル名をバックエンドに密輸出することが可能です。この脆弱性はバージョン0.0.30で修正されました。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月22日0:00
登録日	2026年6月29日11:13
最終更新日	2026年6月29日11:13

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

影響を受けるシステム

The FastAPI Expert

python-multipart 0.0.30 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-53537	https://www.cve.org/CVERecord?id=CVE-2026-53537
National Vulnerability Database (NVD)
2	CVE-2026-53537	https://nvd.nist.gov/vuln/detail/CVE-2026-53537

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-436	https://cwe.mitre.org/data/definitions/436.html

ベンダー情報

No	名前	URL
GitHub
1	Content-Disposition parameter smuggling via RFC 2231/5987 extended parameters Advisory Kludex/python-multipart GitHub	https://github.com/Kludex/python-multipart/security/advisories/GHSA-vffw-93wf-4j4q

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:13

NVD脆弱性情報

CVE-2026-53537

概要	Python-Multipart is a streaming multipart parser for Python. Prior to 0.0.30, parse_options_header parsed Content-Disposition (and Content-Type) headers with email.message.Message, which transparently applies RFC 2231/5987 decoding. The extended parameter syntax (filename=charset'lang'value, name=..., and the filename0/filename1 continuation form) is decoded and surfaced under the bare filename/name key, and overrides the plain parameter when both are present. RFC 7578 §4.2 explicitly forbids the filename* form in multipart/form-data. Components that follow RFC 7578, or that do not implement RFC 2231/5987 decoding for multipart/form-data (WAFs, proxies, gateways), may interpret such a header differently. An attacker can exploit that difference to smuggle a different field name or filename past an upstream inspector to the backend. This vulnerability is fixed in 0.0.30.
公表日	2026年6月23日3:16
登録日	2026年6月27日4:10
最終更新日	2026年6月27日4:54

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:fastapiexpert:python-multipart::::::python::*					0.0.30

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/Kludex/python-multipart/security/advisories/GHSA-vffw-93wf-4j4q	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-436	解釈の競合	https://cwe.mitre.org/data/definitions/436.html