Plataforma
python
Componente
priority
Corregido en
1.2.0
La vulnerabilidad CVE-2016-6580 afecta a la biblioteca Python 'priority' en versiones anteriores o iguales a 1.1.1. Un atacante puede explotar esta vulnerabilidad para causar una denegación de servicio (DoS) al enviar un gran volumen de información de prioridad HTTP/2 maliciosa, lo que conduce al agotamiento de la memoria y al uso excesivo de la CPU. La versión 1.2.0 corrige esta vulnerabilidad y se recomienda su actualización.
Esta vulnerabilidad permite a un atacante remoto causar una denegación de servicio en sistemas que utilizan la biblioteca 'priority'. El ataque se basa en la capacidad del atacante para enviar información de prioridad HTTP/2 maliciosa a través de una conexión HTTP/2. La biblioteca 'priority', al no validar adecuadamente esta información, asigna prioridades para cada posible ID de flujo HTTP/2, lo que resulta en una asignación de memoria ilimitada. El intento de utilizar esta estructura de árbol de prioridades también provoca un uso extremadamente alto de la CPU para mantenerla. Esto puede llevar a la inestabilidad del sistema, interrupciones del servicio e incluso a un fallo completo del sistema.
La vulnerabilidad CVE-2016-6580 fue publicada el 10 de enero de 2017. No se ha reportado su explotación activa en campañas conocidas. La probabilidad de explotación se considera moderada, dado que requiere un conocimiento específico de HTTP/2 y la capacidad de enviar tráfico malicioso. No se encuentra en la lista KEV (Know Exploited Vulnerabilities) ni tiene una puntuación EPSS asignada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Estado del Exploit
EPSS
0.48% (65% percentil)
Vector CVSS
La mitigación principal para CVE-2016-6580 es actualizar la biblioteca 'priority' a la versión 1.2.0 o superior. Si la actualización no es inmediatamente posible, se pueden considerar algunas medidas temporales. Limitar el número de conexiones HTTP/2 concurrentes puede ayudar a reducir el impacto del ataque. Implementar reglas en un firewall de aplicaciones web (WAF) para detectar y bloquear patrones de tráfico HTTP/2 maliciosos, específicamente aquellos que intentan asignar prioridades para un gran número de flujos, también puede ser efectivo. Monitorear el uso de la CPU y la memoria del sistema es crucial para detectar posibles ataques en curso.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2016-6580 is a HIGH severity vulnerability affecting the Python priority library versions up to 1.1.1. A malicious HTTP/2 peer can trigger unbounded memory allocation, leading to a denial-of-service.
You are affected if you are using the Python priority library version 1.1.1 or earlier. Check your library version using pip show priority.
Upgrade the Python priority library to version 1.2.0 or later using pip install priority==1.2.0.
There is no current evidence of active exploitation campaigns targeting CVE-2016-6580, but a public POC exists.
Refer to the Python security advisory for CVE-2016-6580: https://www.python.org/security/#CVE-2016-6580
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.