CVE-2026-32145 in wispinformazioni

Riassunto

di VulDB • 15/06/2026

Vulnerabilità di allocazione delle risorse senza limiti o throttling (Allocation of Resources Without Limits or Throttling) in gleam-wisp wisp consente un denial of service tramite l'analisi del corpo multipart form.

La funzione `multipart_body` aggira i limiti configurati per `max_body_size` e `max_files_size`. Quando non è presente un confine multipart all'interno di un chunk, il parser segue il percorso `MoreRequiredForBody`, che accoda il chunk all'output ma passa la quota invariata alla chiamata ricorsiva. Solo l'ultimo chunk contenente il delimitatore viene conteggiato tramite `decrement_quota`. Lo stesso pattern esiste in `multipart_headers`, dove `MoreRequiredForHeaders` effettua una ricorsione senza chiamare `decrement_body_quota`.

Un attaccante non autenticato può esaurire la memoria o lo spazio su disco del server inviando sottomissioni di form multipart arbitrariamente grandi in un'unica richiesta HTTP.

Questo problema interessa wisp: dalla versione 0.2.0 alla versione precedente a 2.2.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

EEF

Prenotare

10/03/2026

Divulgazione

02/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00622

KEV

no

Attività

basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!