CVE-2024-47874 in starlette정보

요약

\~에 의해 VulDB • 2026. 06. 17.

Starlette는 비동기 서버 게이트웨이 인터페이스(ASGI) 프레임워크/툴킷입니다. 버전 0.40.0 이전의 Starlette는 `filename`이 없는 `multipart/form-data` 부분을 텍스트 폼 필드로 처리하며, 크기 제한 없이 바이트 문자열로 버퍼링합니다. 이로 인해 공격자가 임의로 큰 폼 필드를 업로드할 수 있으며, Starlette는 과도한 메모리 할당 및 복사 작업으로 인해 성능이 현저히 저하되고, 서버가 스왑을 시작하여 멈추거나 운영체제가 OOM(Out of Memory) 오류로 서버 프로세스를 종료할 때까지 메모리를 계속 소모하게 됩니다. Starlette 앞에 위치한 리버스 프록시가 합리적인 요청 크기 제한을 적용하더라도, 이러한 요청을 병렬로 여러 개 업로드하는 것만으로도 서비스를 사실상 사용할 수 없게 만들 수 있습니다. 이 서비스 거부(Denial of Service, DoS) 취약점은 폼 요청을 허용하는 Starlette(또는 FastAPI)로 구축된 모든 애플리케이션에 영향을 미칩니다. 버전 0.40.0에서 이 문제가 해결되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub M

예약하다

2024. 10. 04.

모더레이션

수락

항목

VDB-280407

EPSS

0.00658

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!