JVNDB-2025-023514

Python Software FoundationのPythonにおける複数の脆弱性

サーバーからHTTPレスポンスを読み取る際に、読み取る量が指定されていない場合は、デフォルトの動作としてContent-Lengthが使用されます。その結果、悪意のあるサーバーがクライアントに大量のデータをメモリに読み込ませて、OOM（メモリ不足）やその他のDoS（サービス拒否）を引き起こす可能性があります。

Python Software Foundation

• Python 3.13.11 未満
• Python 3.14.0
• Python 3.15.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Python Software Foundation

• Mailing Lists : Mailman 3 [CVE-2025-13836] Excessive read buffering DoS in http.client - Security-announce - python.org

1. 境界外読み取り(CWE-125) [NVD評価]
2. リソースの枯渇(CWE-400) [その他]

1. CVE-2025-13836

1. National Vulnerability Database (NVD) : CVE-2025-13836
2. 関連文書 : [3.13] gh-119451: Fix a potential denial of service in http.client (G…  python/cpython@289f29b  GitHub
3. 関連文書 : Out-of-memory when reading a HTTP response with large Content-Length  Issue #119451  python/cpython
4. 関連文書 : [3.14] gh-119451: Fix a potential denial of service in http.client (G…  python/cpython@4ce2790  GitHub
5. 関連文書 : gh-119451: Fix a potential denial of service in http.client (GH-119454)  python/cpython@5a4c4a0  GitHub
6. 関連文書 : [3.12] gh-119451: Fix a potential denial of service in http.client (G…  python/cpython@14b1fdb  GitHub
7. 関連文書 : gh-119451: Fix a potential denial of service in http.client by serhiy-storchaka  Pull Request #119454  python/cpython  GitHub

• [2026年01月06日]
    掲載
• [2026年02月13日]
    CVSS による深刻度：内容を更新