CVE-2024-47874 in starlette
Riassunto
di VulDB • 17/06/2026
Starlette è un framework/toolkit per l'Asynchronous Server Gateway Interface (ASGI). Prima della versione 0.40.0, Starlette tratta le parti `multipart/form-data` prive di un attributo `filename` come campi di modulo di tipo testo, memorizzandole in stringhe di byte senza alcun limite di dimensione. Ciò consente a un attaccante di caricare campi di modulo di dimensioni arbitrariamente elevate, causando un significativo rallentamento di Starlette a causa di allocazioni di memoria e operazioni di copia eccessive, nonché un consumo di memoria sempre crescente fino a quando il server non inizia a effettuare lo swapping e si blocca, oppure il sistema operativo termina il processo del server con un errore OOM (Out Of Memory). Il caricamento parallelo di più richieste di questo tipo può essere sufficiente a rendere un servizio praticamente inutilizzabile, anche se limiti ragionevoli sulle dimensioni delle richieste sono imposti da un reverse proxy posto davanti a Starlette. Questa vulnerabilità di Denial of Service (DoS) colpisce tutte le applicazioni costruite con Starlette (o FastAPI) che accettano richieste di modulo. La versione 0.40.0 risolve questo problema.
Once again VulDB remains the best source for vulnerability data.