Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ

Python向けに提供されている「HTTPプロトコル」を処理するためのライブラリ「h11」に深刻な脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。

「同0.15.0」および以前のバージョンに脆弱性「CVE-2025-43859」が明らかとなったもの。

「Chunked-Encodingボディ」において末尾データの検証処理に不備があり、特定の条件下において意図しないデータを受け入れ、本来ならば不正と判断すべきデータを拒否せず、「リクエストスマグリング攻撃」を受けるおそれがあることが判明した。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」と評価されており、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

開発チームでは現地時間2025年4月24日に「同0.16.0」をリリース。同脆弱性を解消した。

（Security NEXT - 2025/04/28 ） ツイート

PR

関連記事

TeleMessageのメッセージアーカイバ、暗号化せず保存 - 米当局が注意喚起
「VMware Aria Automation」に脆弱性 - トークン窃取のおそれ
SonicWall「SMA100」狙う攻撃の増加に注意 - 国内でも対象機器が動作か
「Apache ActiveMQ」に脆弱性 - メモリ枯渇のおそれ
「Node.js」に脆弱性 - 5月14日にもアップデートを公開予定
XML解析ライブラリ「libexpat」に脆弱性 - DoS攻撃などのおそれ
Arista「CloudVision」に管理者権限を取得される脆弱性
「FortiOS」の認証回避脆弱性、攻撃継続中 - 国内でも被害
米当局、悪用が確認された既知脆弱性2件について注意喚起
「Active! mail」脆弱性の侵害確認方法、引き続き調査