CVE-2026-32145 in wispالمعلومات

الملخص

بحسب VulDB • 05/06/2026

ثغرة تخصيص الموارد دون حدود أو تقييد (Allocation of Resources Without Limits or Throttling) في gleam-wisp wisp تتيح حدوث هجوم حجب الخدمة (Denial of Service) عبر تحليل جسم النموذج متعدد الأجزاء (multipart form body).

تتجاوز الدالة `multipart_body` حدود `max_body_size` و `max_files_size` المُعدّة. عندما لا يوجد حد فاصل متعدد الأجزاء (multipart boundary) في كتلة البيانات (chunk)، يتبع المحلل مسار `MoreRequiredForBody`، الذي يلصق كتلة البيانات بالإخراج ولكنه يمرر الحصة (quota) دون تغيير إلى الاستدعاء المتكرر. يتم احتساب الحصة فقط للكتلة النهائية التي تحتوي على الحد الفاصل عبر دالة `decrement_quota`. يوجد نفس النمط في `multipart_headers`، حيث يتكرر استدعاء `MoreRequiredForHeaders` دون استدعاء `decrement_body_quota`.

يمكن لمهاجم غير مصرّح له استنفاد ذاكرة الخادم أو القرص عن طريق إرسال طلبات نموذج متعددة الأجزاء بحجم كبير بشكل تعسفي في طلب HTTP واحد.

تؤثر هذه المشكلة على wisp: من الإصدار 0.2.0 قبل 2.2.2.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

EEF

حجز

10/03/2026

إفشاء

02/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354849

EPSS

0.00622

KEV

لا

النشاطات

منخفض

المصادر

Do you know our Splunk app?

Download it now for free!