Plateforme
python
Composant
priority
Corrigé dans
1.2.0
La vulnérabilité CVE-2016-6580 concerne un déni de service (DoS) présent dans la bibliothèque Python 'priority'. Un attaquant peut exploiter cette faille en manipulant les informations de priorité HTTP/2, entraînant une allocation mémoire excessive et une consommation CPU importante. Cette vulnérabilité affecte les versions de la bibliothèque 'priority' inférieures ou égales à 1.1.1. La version corrigée est 1.2.0.
Cette vulnérabilité permet à un attaquant de provoquer un déni de service sur un système utilisant la bibliothèque 'priority'. L'attaquant peut envoyer des requêtes HTTP/2 spécialement conçues pour forcer l'allocation d'une quantité excessive de mémoire par le serveur. Cette allocation excessive peut entraîner un ralentissement significatif, voire un blocage complet du service, rendant le système indisponible pour les utilisateurs légitimes. L'utilisation CPU accrue associée à cette allocation mémoire peut également dégrader les performances globales du système. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature de la vulnérabilité (DoS via allocation mémoire) la rend potentiellement exploitable dans des environnements où des requêtes HTTP/2 malveillantes peuvent être injectées.
La vulnérabilité CVE-2016-6580 a été rendue publique le 10 janvier 2017. Aucun exploit public n'est actuellement connu, mais la nature de la vulnérabilité (DoS via allocation mémoire) la rend potentiellement exploitable. Elle n'est pas répertoriée sur le KEV de CISA à ce jour. La probabilité d'exploitation est considérée comme faible à modérée en raison de la nécessité d'une manipulation précise des requêtes HTTP/2.
Statut de l'Exploit
EPSS
0.48% (percentile 65%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque 'priority' vers la version 1.2.0 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de limiter le nombre de connexions HTTP/2 simultanées et de surveiller l'utilisation de la mémoire sur les systèmes affectés. Des règles de pare-feu applicatif (WAF) peuvent être configurées pour détecter et bloquer les requêtes HTTP/2 suspectes. Il n'existe pas de correctifs de contournement spécifiques, la mise à jour de la bibliothèque étant la solution la plus fiable.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2016-6580 is a HIGH severity vulnerability affecting the Python priority library versions up to 1.1.1. A malicious HTTP/2 peer can trigger unbounded memory allocation, leading to a denial-of-service.
You are affected if you are using the Python priority library version 1.1.1 or earlier. Check your library version using pip show priority.
Upgrade the Python priority library to version 1.2.0 or later using pip install priority==1.2.0.
There is no current evidence of active exploitation campaigns targeting CVE-2016-6580, but a public POC exists.
Refer to the Python security advisory for CVE-2016-6580: https://www.python.org/security/#CVE-2016-6580
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.