Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10819

Опубликовано: 21 июл. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость ASGI-фреймворка для веб-разработки Starlette связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на доступность защищаемой информации

Вендор

Novell Inc.
ООО «Ред Софт»
Encode

Наименование ПО

openSUSE Tumbleweed
РЕД ОС
OpenSUSE Leap
Starlette

Версия ПО

- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
15.6 (OpenSUSE Leap)
до 0.47.2 (Starlette)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/encode/starlette/security/advisories/GHSA-2c2j-9gv5-cj73
Для программных продуктов Novell Inc.:
https://www.suse.com/ko-kr/security/cve/CVE-2025-54121.html
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 25%
0.00087
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250825-04

CVSS3: 5.3
redos
4 месяца назад

Уязвимость python3-starlette

ubuntu логотип

CVE-2025-54121

CVSS3: 5.3
ubuntu
5 месяцев назад

Starlette is a lightweight ASGI (Asynchronous Server Gateway Interface) framework/toolkit, designed for building async web services in Python. In versions 0.47.1 and below, when parsing a multi-part form with large files (greater than the default max spool size) starlette will block the main thread to roll the file over to disk. This blocks the event thread which means the application can't accept new connections. The UploadFile code has a minor bug where instead of just checking for self._in_memory, the logic should also check if the additional bytes will cause a rollover. The vulnerability is fixed in version 0.47.2.

redhat логотип

CVE-2025-54121

CVSS3: 5.3
redhat
5 месяцев назад

Starlette is a lightweight ASGI (Asynchronous Server Gateway Interface) framework/toolkit, designed for building async web services in Python. In versions 0.47.1 and below, when parsing a multi-part form with large files (greater than the default max spool size) starlette will block the main thread to roll the file over to disk. This blocks the event thread which means the application can't accept new connections. The UploadFile code has a minor bug where instead of just checking for self._in_memory, the logic should also check if the additional bytes will cause a rollover. The vulnerability is fixed in version 0.47.2.

nvd логотип

CVE-2025-54121

CVSS3: 5.3
nvd
5 месяцев назад

Starlette is a lightweight ASGI (Asynchronous Server Gateway Interface) framework/toolkit, designed for building async web services in Python. In versions 0.47.1 and below, when parsing a multi-part form with large files (greater than the default max spool size) starlette will block the main thread to roll the file over to disk. This blocks the event thread which means the application can't accept new connections. The UploadFile code has a minor bug where instead of just checking for self._in_memory, the logic should also check if the additional bytes will cause a rollover. The vulnerability is fixed in version 0.47.2.

debian логотип

CVE-2025-54121

CVSS3: 5.3
debian
5 месяцев назад

Starlette is a lightweight ASGI (Asynchronous Server Gateway Interface ...

EPSS

Процентиль: 25%
0.00087
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2