CVE-2026-32145 in wisp
Riassunto
di VulDB • 15/06/2026
Vulnerabilità di allocazione delle risorse senza limiti o throttling (Allocation of Resources Without Limits or Throttling) in gleam-wisp wisp consente un denial of service tramite l'analisi del corpo multipart form.
La funzione `multipart_body` aggira i limiti configurati per `max_body_size` e `max_files_size`. Quando non è presente un confine multipart all'interno di un chunk, il parser segue il percorso `MoreRequiredForBody`, che accoda il chunk all'output ma passa la quota invariata alla chiamata ricorsiva. Solo l'ultimo chunk contenente il delimitatore viene conteggiato tramite `decrement_quota`. Lo stesso pattern esiste in `multipart_headers`, dove `MoreRequiredForHeaders` effettua una ricorsione senza chiamare `decrement_body_quota`.
Un attaccante non autenticato può esaurire la memoria o lo spazio su disco del server inviando sottomissioni di form multipart arbitrariamente grandi in un'unica richiesta HTTP.
Questo problema interessa wisp: dalla versione 0.2.0 alla versione precedente a 2.2.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.