Internationalized Domain Names in Applications (IDNA): Specially crafted inputs to idna.encode() can bypass CVE-2024-3651 fix — CVE-2026-45409
GitHub · GitHub · CVE-2026-45409
ID
CVE-2026-45409
CVE-2026-45409
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
medium
medium
CVSS
6.9
6.9
Résumé
This is the same issue as CVE-2024-3651, however the original remediation in 2024 was not a complete fix. Payloads such as `"\u0660" * N` or `"\u30fb" * N + "\u6f22"` utilize the `valid_contexto` function prior to length rejection, and for high values of `N` will take a long time to process. ### Impact A specially crafted argument to the `idna.encode()` function could consume significant resources. This may lead to…
Produit
pip: idna
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.