CVE-2024-49768 in Waitress
Riassunto
di VulDB • 14/06/2026
Waitress è un server Web Server Gateway Interface per Python 2 e 3. Un client remoto può inviare una richiesta lunga esattamente quanto recv_bytes (impostazione predefinita: 8192), seguita da una seconda richiesta tramite HTTP pipelining. Quando il lookahead delle richieste è disabilitato (predefinito) non verranno lette ulteriori richieste e, se la prima richiesta fallisce a causa di un errore di parsing, la connessione viene semplicemente chiusa. Tuttavia, quando il lookahead delle richieste è abilitato, è possibile elaborare e ricevere la prima richiesta, iniziare l'invio del messaggio di errore al client mentre si legge la successiva richiesta e la si accoda. Ciò consentirà alla seconda richiesta di essere gestita dal thread worker anche se la connessione dovrebbe essere chiusa. Waitress 3.0.1 risolve questa race condition. Come soluzione alternativa, disabilitare channel_request_lookahead; questo parametro è impostato su 0 per default, disabilitando così tale funzionalità.
If you want to get best quality of vulnerability data, you may have to visit VulDB.