Deux bibliothèques Python victimes de surcharge par requêtes malveillantes
Les bibliothèques AIOHTTP et kin-openapi présentent des failles permettant à un attaquant de provoquer une surcharge système via des requêtes spécialement construites : cookies multiples pour AIOHTTP, données multipart/form-data pour kin-openapi.
Publié 8sem·1 média·Notable
≈ 29s
Le fait
Ces vulnérabilités affectent les applications web et services utilisant ces composants courants de l'écosystème Python.
Les développeurs doivent mettre à jour leurs dépendances et vérifier les configurations d'authentification et de traitement de données.
Des chercheurs en sécurité ont identifié quatre failles de sécurité affectant des composants largement utilisés : Axios, Python python-multipart, PyPDF2 et Apache HttpComponents HttpClient.
Deux failles sévères ont été découvertes dans les bibliothèques Python : une contournement de contrôle d'accès dans Cryptography et une surcharge de système dans pypdf.
Les bibliothèques Python assyncmy, hex_core et Python-Markdown contiennent des failles de sécurité : injections SQL via Dict Keys, surcharge de service et erreurs d'assertion.
Des chercheurs en sécurité ont identifié trois failles de sécurité distinctes affectant des outils de développement largement utilisés : contournement d'accès via Python Black, surcharge par expression régulière dans ajv, et injection de script dans Svelte.