Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01058

Опубликовано: 25 янв. 2026
Источник: fstec
CVSS3: 8.6
CVSS2: 9
EPSS Низкий

Описание

Уязвимость конфигурации UPLOAD_DIR и UPLOAD_KEEP_FILENAME=True потокового многокомпонентного парсера python-multipart связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Python-multipart

Версия ПО

до 0.0.22 (Python-multipart)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/Kludex/python-multipart/commit/9433f4bbc9652bdde82bbe380984e32f8cfc89c4
https://github.com/Kludex/python-multipart/releases/tag/0.0.22
https://github.com/Kludex/python-

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.0002
Низкий

8.6 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2026-24486

CVSS3: 8.6
ubuntu
13 дней назад

Python-Multipart is a streaming multipart parser for Python. Prior to version 0.0.22, a Path Traversal vulnerability exists when using non-default configuration options `UPLOAD_DIR` and `UPLOAD_KEEP_FILENAME=True`. An attacker can write uploaded files to arbitrary locations on the filesystem by crafting a malicious filename. Users should upgrade to version 0.0.22 to receive a patch or, as a workaround, avoid using `UPLOAD_KEEP_FILENAME=True` in project configurations.

nvd логотип

CVE-2026-24486

CVSS3: 8.6
nvd
13 дней назад

Python-Multipart is a streaming multipart parser for Python. Prior to version 0.0.22, a Path Traversal vulnerability exists when using non-default configuration options `UPLOAD_DIR` and `UPLOAD_KEEP_FILENAME=True`. An attacker can write uploaded files to arbitrary locations on the filesystem by crafting a malicious filename. Users should upgrade to version 0.0.22 to receive a patch or, as a workaround, avoid using `UPLOAD_KEEP_FILENAME=True` in project configurations.

debian логотип

CVE-2026-24486

CVSS3: 8.6
debian
13 дней назад

Python-Multipart is a streaming multipart parser for Python. Prior to ...

suse-cvrf логотип

openSUSE-SU-2026:20125-1

suse-cvrf
11 дней назад

Security update for python-python-multipart

suse-cvrf логотип

SUSE-SU-2026:0307-1

suse-cvrf
12 дней назад

Security update for python-python-multipart

EPSS

Процентиль: 5%
0.0002
Низкий

8.6 High

CVSS3

9 Critical

CVSS2