CVE-2025-66471Высокий
ANC
ANC
Коррекции базы Anchore
Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.
Регион
США
Обновления
6 ч
Лицензия
Apache-2.0
Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.
https://github.com/anchore/grype-db →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
urllib3 - это удобная для пользователя HTTP-клиент-библиотека для Python. Начиная с версии 1.0 и до 2.6.0, Streaming API неправильно обраба…
CVSS
8.9
Высокий
EPSS
0.01
p40
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание
urllib3 - это удобная для пользователя HTTP-клиент-библиотека для Python. Начиная с версии 1.0 и до 2.6.0, Streaming API неправильно обрабатывает сильно сжатые данные. Потоковый API urllib3 предназначен для эффективной обработки больших ответов HTTP путем чтения контента в куски, а не для загрузки всего тела отклика в память сразу. При потоковой трансляции сжатого ответа urllib3 может выполнять декодирование или декомпрессию на основе заголовка HTTP-контент-кодирования (например, gzip, дефлейт, br или zstd). Библиотека должна читать сжатые данные из сети и распаковывать их до тех пор, пока не будет выполнен запрошенный размер куска. Любые полученные декомпрессованные данные, превышающие запрашиваемые суммы, удерживаются во внутреннем буфере для следующей операции чтения. Логика декомпрессии может привести к тому, что urllib3 полностью расшифрует небольшое количество высоко сжатых данных за одну операцию. Это может привести к чрезмерному потреблению ресурсов (высокое использование процессора и массовое распределение памяти для декомпрессированных данных.
Теги · CWE
Без аутентификации
CWE-409
CWE-409БазаНеполный
Некорректная обработка данных с высокой степенью сжатия (усиление данных)
Продукт не обрабатывает либо обрабатывает некорректно сжатые входные данные с очень высокой степенью сжатия, при распаковке которых получается большой объём выходных данных.
https://cwe.mitre.org/data/definitions/409.html →Открыть в коллекции CWE →Затронутые продукты
Urllib3 1.0–2.6.0
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: P
Present
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: N
Отсутствует (N)
Целостность уязвимой системы
VI: N
Отсутствует (N)
Доступность уязвимой системы
VA: H
Высокое (H)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: H
Высокое (H)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.005 · p40
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| python-pip | Отслеживается | |
| python-pip | Отслеживается | |
| python-pip | Отслеживается | |
| python-pip | Отслеживается | |
| python-urllib3 | Отслеживается | |
| python-urllib3 | Отслеживается | |
| python-urllib3 | Отслеживается | |
| python-urllib3 | Отслеживается | |
| python-urllib3 | Отслеживается | |
| python-urllib3 | Отслеживается | |
| python-urllib3 | Отслеживается | |
| python-urllib3 | Отслеживается | |
| urllib3 | * | Отслеживается |
Источники данных
ANC
ANC
Коррекции базы Anchore
Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.
Регион
США
Обновления
6 ч
Лицензия
Apache-2.0
Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.
https://github.com/anchore/grype-db →DEB
DEB
Бюллетени безопасности Debian (DSA)
DSA публикуются командой безопасности Debian для проблем, затрагивающих стабильный дистрибутив. Трекер security-tracker.debian.org дополнительно сопоставляет каждый CVE со статусом на уровне пакетов по всем поддерживаемым редакциям.
Регион
Международно
Обновления
1 ч
Лицензия
Общественное достояние
Бюллетени для стабильной и предыдущей стабильной версий Debian. Примечания к релизам содержат точную версию .deb-пакета, устраняющего каждую уязвимость.
https://www.debian.org/security/ →CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →UBU
UBU
Бюллетени безопасности Ubuntu (USN)
USN являются авторитетным источником для систем Ubuntu. CVE Tracker связывает каждую уязвимость со статусом по релизам (needed, released, not-affected) и с конкретной ошибкой в Launchpad, в которой интегрировано исправление.
Регион
Международно
Обновления
1 ч
Лицензия
CC BY-SA 3.0
Бюллетени безопасности для LTS- и промежуточных релизов Ubuntu: пакеты main, universe и (через Ubuntu Pro) ESM-расширенные.
https://ubuntu.com/security/notices →Связанные уязвимости
Внешние ссылки
https://github.com/urllib3/urllib3/commit/c19571de34c47de3a766541b041637ba5f716ed7@https://github.com/urllib3/urllib3/security/advisories/GHSA-2xpw-w6gg-jr37https://www.cve.org/CVERecord?id=CVE-2025-66471@https://www.openwall.com/lists/oss-security/2025/12/05/4@https://github.com/urllib3/urllib3/security/advisories/GHSA-2xpw-w6gg-jr37@https://ubuntu.com/security/notices/USN-7927-1@https://ubuntu.com/security/notices/USN-7927-2@https://ubuntu.com/security/notices/USN-7927-3