BDU:2026-03452

Высокий

BDU:2026-03452: Уязвимость HTTP библиотеки Urllib3 языка программирования Python, связанная с некорректной обработкой сильно сжатых входных данных, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v38.6

CVSS v27.8

Пересчитать в калькуляторе Открыть на bdu.fstec.ru К реестру

Описание

Уязвимость HTTP библиотеки Urllib3 языка программирования Python связана с некорректной обработкой сильно сжатых входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Что делать с BDU:2026-03452

Высокая уязвимость (CVSS 8.6) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1

8.6Высокий

Пересчитать →

7.8

Только просмотр

AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:HAV:N/AC:L/Au:N/C:N/I:N/A:C

CWE — тип уязвимости

CWE-409

CVE — международный идентификатор

CVE-2025-66471

GHSA-2xpw-w6gg-jr37

Тактики и техники

Манипулирование ресурсами

Уязвимое ПО (96)

Вендор	Название	Версия	Платформа
Red Hat Inc.	Red Hat Enterprise Linux	6	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	7	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8	Не указана
Red Hat Inc.	OpenShift Container Platform	4	Не указана
Red Hat Inc.	Red Hat Openshift Data Foundation	4	Не указана
Red Hat Inc.	Red Hat Satellite	6	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.2 Advanced Update Support	Не указана
Red Hat Inc.	Migration Toolkit for Virtualization	-	Не указана
Red Hat Inc.	OpenShift Serverless	-	Не указана
Red Hat Inc.	Red Hat Ansible Automation Platform	2	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.4 Advanced Mission Critical Update Support	Не указана
Red Hat Inc.	OpenShift Dev Spaces	-	Не указана
Red Hat Inc.	Red Hat OpenStack Platform	17.1	Не указана
Red Hat Inc.	Migration Toolkit for Containers	-	Не указана
Red Hat Inc.	OpenShift Pipelines	-	Не указана
Red Hat Inc.	Red Hat Ceph Storage	6	Не указана
Red Hat Inc.	Red Hat Ansible Automation Platform	2.4	Не указана
Red Hat Inc.	Logging subsystem for Red Hat OpenShift	-	Не указана
Red Hat Inc.	Red Hat Developer Hub	-	Не указана
Red Hat Inc.	multicluster engine for Kubernetes	-	Не указана
Canonical Ltd.	Ubuntu	24.04 LTS	Не указана
Red Hat Inc.	Red Hat Ceph Storage	7	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9.0 Update Services for SAP Solutions	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.6 Update Services for SAP Solutions	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.6 Telecommunications Update Service	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.6 Advanced Mission Critical Update Support	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	7 Extended Lifecycle Support	Не указана
Red Hat Inc.	OpenShift AI	-	Не указана
Red Hat Inc.	Red Hat Satellite	6.16 for RHEL 8	Не указана
Red Hat Inc.	Red Hat Satellite	6.16 for RHEL 9	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9.4 Extended Update Support	Не указана
Red Hat Inc.	Red Hat Ansible Automation Platform	2.4 for RHEL 8	Не указана
Red Hat Inc.	Red Hat Ansible Automation Platform	2.4 for RHEL 9	Не указана
Red Hat Inc.	Red Hat Ceph Storage	8	Не указана
Red Hat Inc.	Red Hat OpenShift Lightspeed	-	Не указана
Red Hat Inc.	Red Hat Ansible Automation Platform	2.5 for RHEL 8	Не указана
Red Hat Inc.	Red Hat Ansible Automation Platform	2.5 for RHEL 9	Не указана
Fedora Project	Fedora	42	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	10	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.8 Telecommunications Update Service	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.8 Update Services for SAP Solutions	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9.2 Update Services for SAP Solutions	Не указана
Red Hat Inc.	Red Hat AI Inference Server	-	Не указана
Red Hat Inc.	Builds for Red Hat OpenShift	-	Не указана
Red Hat Inc.	Confidential Compute Attestation	-	Не указана
Red Hat Inc.	Multiarch Tuning Operator	-	Не указана
Fedora Project	Fedora EPEL	epel9	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.4 Extended Update Support Long-Life Add-On	Не указана
Fedora Project	Fedora EPEL	epel10	Не указана

Показано 50 из 96

Среды функционирования (25)

Вендор	Название	Версия	Платформа
Red Hat Inc.	Red Hat Enterprise Linux	6	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	7	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.2 Advanced Update Support	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.4 Advanced Mission Critical Update Support	Не указана
Canonical Ltd.	Ubuntu	24.04 LTS	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9.0 Update Services for SAP Solutions	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.6 Update Services for SAP Solutions	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.6 Telecommunications Update Service	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.6 Advanced Mission Critical Update Support	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	7 Extended Lifecycle Support	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9.4 Extended Update Support	Не указана
Fedora Project	Fedora	42	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	10	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.8 Telecommunications Update Service	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.8 Update Services for SAP Solutions	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9.2 Update Services for SAP Solutions	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	8.4 Extended Update Support Long-Life Add-On	Не указана
Fedora Project	Fedora	43	Не указана
Canonical Ltd.	Ubuntu	25.10	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	9.6 Extended Update Support	Не указана
ООО «Ред Софт»	РЕД ОС	8.0	Не указана
Red Hat Inc.	Red Hat Enterprise Linux	10.0 Extended Update Support	Не указана
Red Hat Inc.	Red Hat Enterprise Linux AI	3	Не указана

Источники (1)

https://github.com/urllib3/urllib3 https://github.com/urllib3/urllib3/commit/c1…

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 8.6

Уточните SLA под вашу среду

Базовый балл 8.6 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации0.0%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2025-12-05

Опубликована

2026-03-23

Обновлена

2026-03-23

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

Уязвимости → активы → ответственные — цепочка за минуту
SLA-таймеры и эскалация — дедлайны не горят
PDF-отчёт для ФСТЭК — за один клик

Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2025-66471 MITRE: CWE-409 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-02927

Высокий

7.5

Уязвимость HTTP библиотеки для Python Urllib3, связанная с выделением неограниченной памяти, позволяющая нарушителю вызв

BDU:2025-13750

Средний

7.8

Уязвимость компонента pam_namespace модуля аутентификации Linux-PAM, действующему удаленно, нарушителю повысить свои при

BDU:2025-09565

Высокий

7.2

Уязвимость платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, связанная с н

BDU:2025-10834

Средний

7.0

Уязвимость языка программирования Go, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая н

BDU:2025-09791

Средний

5.3

Уязвимость HTTP библиотеки Urllib3 языка программирования Python, связанная с переадресацией URL на ненадежный сайт, поз

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостям Модуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0

Детали уязвимости BDU:2026-03452

Описание

Что делать с BDU:2026-03452

Оценка критичности (CVSS)

Тактики и техники

Уязвимое ПО (96)

Среды функционирования (25)

Рекомендации по устранению

Источники (1)

SLA ФСТЭК №117

Threat Intelligence

Информация

Внешние ресурсы

Связанные уязвимости

Что добавляет КиберОснова к данным БДУ ФСТЭК

Автоматизируйте управление уязвимостями