CVE-2026-53538
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/06/2026
Última modificación:
26/06/2026
Descripción
*** Pendiente de traducción *** Python-Multipart is a streaming multipart parser for Python. Prior to 0.0.30, QuerystringParser treated ; as a field separator in application/x-www-form-urlencoded bodies, in addition to &. The WHATWG URL standard, modern browsers, and Python's urllib.parse (since the CVE-2021-23336 fix) treat only & as a separator. This creates a parser differential: the same bytes are tokenized into different fields than a WHATWG compliant intermediary would produce, allowing an attacker to smuggle extra form fields past an upstream body inspecting component. This vulnerability is fixed in 0.0.30.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fastapiexpert:python-multipart:*:*:*:*:*:python:*:* | 0.0.30 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



