Alapadatok
Súlyosság: Közepes
CVSS vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
CVSS base score: 6.5
Kihasználhatóság:
- Hálózatról kihasználható
- Alacsony komplexitás
- Nem szükséges jogosultság
- Nem szükséges felhasználói interakció
Következmények
Loss of integrity (Sértetlenség elvesztése)
Leírás
A termék köztes HTTP-komponensként működik a kliens és a szerver között, azonban a hibás vagy nem várt HTTP-kéréseket és -válaszokat nem a végpontokkal konzisztens módon értelmezi. Az eltérő üzenetfeldolgozás – például duplikált vagy ellentmondó Transfer-Encoding és Content-Length fejlécek esetén – lehetővé teheti, hogy a támadó a köztes komponens megkerülésével HTTP-üzenetet csempésszen a célrendszerhez. A hiba gyakran elavult vagy inkompatibilis HTTP-protokollverziók használatából ered.
Megjegyzés: A leírás a CWE-besorolás magyar fordítása. Bővebb információért kattintson az Alapadatok CWE elemére.Érintett rendszerek és verzióik
encode starlette < 1.0.1
Hivatkozások
https://euvd.enisa.europa.eu/vulnerability/EUVD-2026-32016
https://nvd.nist.gov/vuln/detail/CVE-2026-48710
https://github.com/Kludex/starlette/security/advisories/GHSA-86qp-5c8j-p5mr