Schwachstelle in Python-Bibliothek h11
- Warnmeldung
Eine kritische Schwachstelle in der Bibliothek h11, die in Python geschrieben ist, ermöglicht in Kombination mit unglücklichen Reverse-Proxy-Einstellungen ein sogenanntes HTTP-Request-Smuggling. Ein Patch ist verfügbar, den Betreiber rasch einspielen sollten.
© Adobe Stock
Befehlsausführung unter fremdem Namen
Durch die Sicherheitslücke können Angreifende Befehle unter dem Namen eines anderen Benutzers einschleusen und ausführen. Dies ist allerdings nur möglich, wenn ein vorgeschalteter Reverse-Proxy so konfiguriert ist, dass er HTTP-Anfragen anders interpretiert als die Python-Bibliothek.
Betroffen sind die h11-Versionen bis einschließlich 0.15.0. Die Schwachstelle besitzt die Kennung CVE-2025-43859 mit einem errechneten CVSS-Base-Score von 9.1/10. Diese Informationen sind auf Github veröffentlicht.
Empfehlungen
Beachten Sie die folgenden Empfehlungen:
- Installieren Sie schnellstmöglich die neueste Version der Python-Bibliothek h11 (aktuell 0.16.0).
- Wenn dies nicht möglich ist, passen Sie den Reverse-Proxy so an, dass entsprechende ungültige Anfragen erkannt werden und ihre Weiterleitung unterbunden wird.