製品・ソフトウェアに関する情報
Vulnerability Search
EncodeのStarletteにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Title EncodeのStarletteにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Summary

Starlette は軽量な ASGI フレームワーク/ツールキットです。バージョン 0.4.1 から 1.3.1 まで、request.form() はフォームデータの解析中にリソース消費を制限するために max_fields と max_part_size を受け入れます。これらの制限は multipart/form-data に対して適用されますが、application/x-www-form-urlencoded に対しては黙って無視されます。そのため、認証されていない攻撃者は、アプリケーションが制限を設定していた場合でも、任意の数のフィールドや任意に大きなフィールドを含む urlencoded ボディを送信することが可能です。この脆弱性はバージョン 1.3.1 で修正されました。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 22, 2026, midnight
Registration Date June 29, 2026, 11:12 a.m.
Last Update June 29, 2026, 11:12 a.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Affected System
Encode
Starlette 0.4.1 以上 1.3.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月29日]
  掲載		 June 29, 2026, 11:12 a.m.
NVD Vulnerability Information
CVE-2026-54283
Summary

Starlette is a lightweight ASGI framework/toolkit. From 0.4.1 until 1.3.1, request.form() accepts max_fields and max_part_size to bound resource consumption while parsing form data. These limits are enforced for multipart/form-data, but silently ignored for application/x-www-form-urlencoded. An unauthenticated attacker can therefore send a urlencoded body with an arbitrarily large number of fields or an arbitrarily large field, even when the application configured limits it believed would apply. This vulnerability is fixed in 1.3.1.

Publication Date June 23, 2026, 3:16 a.m.
Registration Date June 27, 2026, 4:11 a.m.
Last Update June 27, 2026, 4:16 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:encode:starlette:*:*:*:*:*:python:*:* 0.4.1 1.3.1
Related information, measures and tools
Common Vulnerabilities List