CVE-2024-49767

Werkzeug is a Web Server Gateway Interface web application library. Applications using `werkzeug.formparser.MultiPartParser` corresponding to a version of Werkzeug prior to 3.0.6 to parse `multipart/form-data` requests (e.g. all flask applications) are vulnerable to a relatively simple but effective resource exhaustion (denial of service) attack. A specifically crafted form submission request can cause the parser to allocate and block 3 to 8 times the upload size in main memory. There is no upper limit; a single upload at 1 Gbit/s can exhaust 32 GB of RAM in less than 60 seconds. Werkzeug version 3.0.6 fixes this issue.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:palletsprojects:quart:*:*:*:*:*:python:*:*
cpe:2.3:a:palletsprojects:werkzeug:*:*:*:*:*:*:*:*

History

05 Nov 2024, 20:03

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 7.5
CPE cpe:2.3:a:palletsprojects:quart:*:*:*:*:*:python:*:*
cpe:2.3:a:palletsprojects:werkzeug:*:*:*:*:*:*:*:*
First Time Palletsprojects quart
Palletsprojects werkzeug
Palletsprojects
References () https://github.com/pallets/quart/commit/5e78c4169b8eb66b91ead3e62d44721b9e1644ee - () https://github.com/pallets/quart/commit/5e78c4169b8eb66b91ead3e62d44721b9e1644ee - Patch
References () https://github.com/pallets/werkzeug/commit/50cfeebcb0727e18cc52ffbeb125f4a66551179b - () https://github.com/pallets/werkzeug/commit/50cfeebcb0727e18cc52ffbeb125f4a66551179b - Patch
References () https://github.com/pallets/werkzeug/releases/tag/3.0.6 - () https://github.com/pallets/werkzeug/releases/tag/3.0.6 - Release Notes
References () https://github.com/pallets/werkzeug/security/advisories/GHSA-q34m-jh98-gwm2 - () https://github.com/pallets/werkzeug/security/advisories/GHSA-q34m-jh98-gwm2 - Vendor Advisory

28 Oct 2024, 13:58

Type Values Removed Values Added
Summary
  • (es) Werkzeug es una librería de aplicaciones web de interfaz de puerta de enlace de servidor web. Las aplicaciones que utilizan `werkzeug.formparser.MultiPartParser` correspondiente a una versión de Werkzeug anterior a la 3.0.6 para analizar solicitudes `multipart/form-data` (por ejemplo, todas las aplicaciones Flask) son vulnerables a un ataque de agotamiento de recursos (denegación de servicio) relativamente simple pero efectivo. Una solicitud de envío de formulario manipulada específicamente puede hacer que el analizador asigne y bloquee de 3 a 8 veces el tamaño de carga en la memoria principal. No hay un límite superior; una sola carga a 1 Gbit/s puede agotar 32 GB de RAM en menos de 60 segundos. La versión 3.0.6 de Werkzeug corrige este problema.

25 Oct 2024, 20:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-25 20:15

Updated : 2024-11-05 20:03


NVD link : CVE-2024-49767

Mitre link : CVE-2024-49767

CVE.ORG link : CVE-2024-49767


JSON object : View

Products Affected

palletsprojects

  • quart
  • werkzeug
CWE
CWE-400

Uncontrolled Resource Consumption

CWE-770

Allocation of Resources Without Limits or Throttling