Vulnerabilidad en CPython (CVE-2025-13836)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
01/12/2025
Última modificación:
10/02/2026
Descripción
Al leer una respuesta HTTP de un servidor, si no se especifica una cantidad de lectura, el comportamiento predeterminado será usar Content-Length. Esto permite a un servidor malicioso hacer que el cliente lea grandes cantidades de datos en la memoria, lo que podría causar OOM u otro DoS.
Impacto
Puntuación base 4.0
6.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.13.11 (excluyendo) | |
| cpe:2.3:a:python:python:3.14.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.15.0:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.15.0:alpha2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/python/cpython/commit/14b1fdb0a94b96f86fc7b86671ea9582b8676628
- https://github.com/python/cpython/commit/289f29b0fe38baf2d7cb5854f4bb573cc34a6a15
- https://github.com/python/cpython/commit/4ce27904b597c77d74dd93f2c912676021a99155
- https://github.com/python/cpython/commit/5a4c4a033a4a54481be6870aa1896fad732555b5
- https://github.com/python/cpython/commit/5dc101675fd22918facbbe0fecdc821502beaaf0
- https://github.com/python/cpython/commit/afc40bdd3dd71f343fd9016f6d8eebbacbd6587c
- https://github.com/python/cpython/issues/119451
- https://github.com/python/cpython/pull/119454
- https://mail.python.org/archives/list/security-announce@python.org/thread/OQ6G7MKRQIS3OAREC3HNG3D2DPOU34XO/