High Severity Vulnerability
This vulnerability has been rated as High severity. Immediate action is recommended.
CVE-2024-49767
High
Low
Medium
High
Critical
7.5
CVSS Score
Vulnerability Description
Werkzeug is a Web Server Gateway Interface web application library. Applications using `werkzeug.formparser.MultiPartParser` corresponding to a version of Werkzeug prior to 3.0.6 to parse `multipart/form-data` requests (e.g. all flask applications) are vulnerable to a relatively simple but effective resource exhaustion (denial of service) attack. A specifically crafted form submission request can cause the parser to allocate and block 3 to 8 times the upload size in main memory. There is no upper limit; a single upload at 1 Gbit/s can exhaust 32 GB of RAM in less than 60 seconds. Werkzeug version 3.0.6 fixes this issue.
CVSS Metrics
Common Vulnerability Scoring System
Vector String:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Attack Vector
N
Attack Complexity
L
Privileges Required
N
User Interaction
N
Scope
U
Confidentiality
N
Integrity
N
Availability
H
Known Affected Software
144 configuration(s) from 1 vendor(s)
quart
Version:
0.11.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.11.0:*:*:*:*:python:*:*
quart
Version:
0.6.6
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.6:*:*:*:*:python:*:*
quart
Version:
0.12.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.12.0:*:*:*:*:python:*:*
werkzeug
Version:
0.11.10
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.10:*:*:*:*:*:*:*
quart
Version:
0.9.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.9.0:*:*:*:*:python:*:*
quart
Version:
0.10.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.10.0:*:*:*:*:python:*:*
werkzeug
Version:
2.1.0
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.1.0:*:*:*:*:*:*:*
werkzeug
Version:
2.3.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.3.3:*:*:*:*:*:*:*
quart
Version:
0.14.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.14.0:*:*:*:*:python:*:*
quart
Version:
0.6.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.1:*:*:*:*:python:*:*
werkzeug
Version:
0.9.6
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.9.6:*:*:*:*:*:*:*
quart
Version:
0.6.5
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.5:*:*:*:*:python:*:*
quart
Version:
0.6.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.0:*:*:*:*:python:*:*
werkzeug
Version:
0.16.0
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.16.0:*:*:*:*:*:*:*
quart
Version:
0.7.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.7.0:*:*:*:*:python:*:*
quart
Version:
0.18.4
CPE:
cpe:2.3:a:palletsprojects:quart:0.18.4:*:*:*:*:python:*:*
quart
Version:
0.7.2
CPE:
cpe:2.3:a:palletsprojects:quart:0.7.2:*:*:*:*:python:*:*
werkzeug
Version:
0.9
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.9:*:*:*:*:*:*:*
quart
Version:
0.18.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.18.1:*:*:*:*:python:*:*
werkzeug
Version:
0.7
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.7:*:*:*:*:*:*:*
werkzeug
Version:
0.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.1:*:*:*:*:*:*:*
quart
Version:
0.6.13
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.13:*:*:*:*:python:*:*
werkzeug
Version:
0.13
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.13:*:*:*:*:*:*:*
werkzeug
Version:
3.0.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:3.0.1:*:*:*:*:*:*:*
werkzeug
Version:
0.16.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.16.1:*:*:*:*:*:*:*
werkzeug
Version:
1.0.0
CPE:
cpe:2.3:a:palletsprojects:werkzeug:1.0.0:-:*:*:*:*:*:*
werkzeug
Version:
0.3.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.3.1:*:*:*:*:*:*:*
quart
Version:
0.18.3
CPE:
cpe:2.3:a:palletsprojects:quart:0.18.3:*:*:*:*:python:*:*
werkzeug
Version:
2.3.0
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.3.0:*:*:*:*:*:*:*
quart
Version:
0.6.3
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.3:*:*:*:*:python:*:*
werkzeug
Version:
0.11.15
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.15:*:*:*:*:*:*:*
quart
Version:
0.3.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.3.0:*:*:*:*:python:*:*
quart
Version:
0.7.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.7.1:*:*:*:*:python:*:*
quart
Version:
0.16.2
CPE:
cpe:2.3:a:palletsprojects:quart:0.16.2:*:*:*:*:python:*:*
quart
Version:
0.6.12
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.12:*:*:*:*:python:*:*
quart
Version:
0.8.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.8.1:*:*:*:*:python:*:*
quart
Version:
0.15.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.15.1:*:*:*:*:python:*:*
quart
Version:
0.13.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.13.1:*:*:*:*:python:*:*
werkzeug
Version:
0.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.2:*:*:*:*:*:*:*
werkzeug
Version:
0.15.5
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.15.5:*:*:*:*:*:*:*
quart
Version:
0.18.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.18.0:*:*:*:*:python:*:*
quart
Version:
0.6.7
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.7:*:*:*:*:python:*:*
werkzeug
Version:
2.3.7
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.3.7:*:*:*:*:*:*:*
quart
Version:
0.14.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.14.1:*:*:*:*:python:*:*
werkzeug
Version:
2.2.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.2.1:*:*:*:*:*:*:*
werkzeug
Version:
0.15.4
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.15.4:*:*:*:*:*:*:*
quart
Version:
0.11.2
CPE:
cpe:2.3:a:palletsprojects:quart:0.11.2:*:*:*:*:python:*:*
quart
Version:
0.11.3
CPE:
cpe:2.3:a:palletsprojects:quart:0.11.3:*:*:*:*:python:*:*
werkzeug
Version:
0.5.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.5.1:*:*:*:*:*:*:*
werkzeug
Version:
0.10.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.10.1:*:*:*:*:*:*:*
quart
Version:
0.11.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.11.1:*:*:*:*:python:*:*
quart
Version:
0.19.3
CPE:
cpe:2.3:a:palletsprojects:quart:0.19.3:*:*:*:*:python:*:*
werkzeug
Version:
0.11.7
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.7:*:*:*:*:*:*:*
quart
Version:
0.5.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.5.0:*:*:*:*:python:*:*
werkzeug
Version:
0.10.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.10.3:*:*:*:*:*:*:*
werkzeug
Version:
0.10
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.10:*:*:*:*:*:*:*
werkzeug
Version:
0.11
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11:*:*:*:*:*:*:*
quart
Version:
0.11.5
CPE:
cpe:2.3:a:palletsprojects:quart:0.11.5:*:*:*:*:python:*:*
werkzeug
Version:
0.11.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.1:*:*:*:*:*:*:*
werkzeug
Version:
2.0.0
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.0.0:-:*:*:*:*:*:*
werkzeug
Version:
0.15.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.15.1:*:*:*:*:*:*:*
werkzeug
Version:
0.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.3:*:*:*:*:*:*:*
werkzeug
Version:
0.4.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.4.1:*:*:*:*:*:*:*
quart
Version:
0.19.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.19.1:*:*:*:*:python:*:*
quart
Version:
0.15.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.15.0:*:*:*:*:python:*:*
werkzeug
Version:
0.9.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.9.1:*:*:*:*:*:*:*
quart
Version:
0.19.4
CPE:
cpe:2.3:a:palletsprojects:quart:0.19.4:*:*:*:*:python:*:*
werkzeug
Version:
0.11.6
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.6:*:*:*:*:*:*:*
werkzeug
Version:
0.11.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.2:*:*:*:*:*:*:*
werkzeug
Version:
0.7.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.7.1:*:*:*:*:*:*:*
werkzeug
Version:
0.14
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.14:*:*:*:*:*:*:*
quart
Version:
0.4.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.4.0:*:*:*:*:python:*:*
werkzeug
Version:
0.8
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.8:*:*:*:*:*:*:*
quart
Version:
0.9.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.9.1:*:*:*:*:python:*:*
quart
Version:
0.18.2
CPE:
cpe:2.3:a:palletsprojects:quart:0.18.2:*:*:*:*:python:*:*
quart
Version:
0.6.9
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.9:*:*:*:*:python:*:*
werkzeug
Version:
0.9.4
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.9.4:*:*:*:*:*:*:*
quart
Version:
0.19.2
CPE:
cpe:2.3:a:palletsprojects:quart:0.19.2:*:*:*:*:python:*:*
werkzeug
Version:
2.1.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.1.1:*:*:*:*:*:*:*
werkzeug
Version:
0.15.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.15.3:*:*:*:*:*:*:*
werkzeug
Version:
0.7.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.7.2:*:*:*:*:*:*:*
werkzeug
Version:
0.8.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.8.3:*:*:*:*:*:*:*
werkzeug
Version:
0.9.5
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.9.5:*:*:*:*:*:*:*
quart
Version:
0.6.14
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.14:*:*:*:*:python:*:*
quart
Version:
0.3.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.3.1:*:*:*:*:python:*:*
werkzeug
Version:
0.11.13
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.13:*:*:*:*:*:*:*
quart
Version:
0.19.5
CPE:
cpe:2.3:a:palletsprojects:quart:0.19.5:*:*:*:*:python:*:*
werkzeug
Version:
0.15.0
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.15.0:*:*:*:*:*:*:*
werkzeug
Version:
0.6.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.6.2:*:*:*:*:*:*:*
quart
Version:
0.6.10
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.10:*:*:*:*:python:*:*
werkzeug
Version:
2.3.5
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.3.5:*:*:*:*:*:*:*
werkzeug
Version:
0.8.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.8.2:*:*:*:*:*:*:*
quart
Version:
0.1.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.1.0:*:*:*:*:python:*:*
werkzeug
Version:
3.0.0
CPE:
cpe:2.3:a:palletsprojects:werkzeug:3.0.0:*:*:*:*:*:*:*
werkzeug
Version:
2.3.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.3.1:*:*:*:*:*:*:*
werkzeug
Version:
0.11.4
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.4:*:*:*:*:*:*:*
werkzeug
Version:
2.3.6
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.3.6:*:*:*:*:*:*:*
werkzeug
Version:
2.0.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.0.3:*:*:*:*:*:*:*
werkzeug
Version:
0.11.5
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.5:*:*:*:*:*:*:*
werkzeug
Version:
0.11.12
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.12:*:*:*:*:*:*:*
werkzeug
Version:
1.0.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:1.0.1:*:*:*:*:*:*:*
werkzeug
Version:
0.11.14
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.14:*:*:*:*:*:*:*
werkzeug
Version:
2.3.4
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.3.4:*:*:*:*:*:*:*
werkzeug
Version:
0.12
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.12:*:*:*:*:*:*:*
werkzeug
Version:
0.11.8
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.8:*:*:*:*:*:*:*
quart
Version:
0.4.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.4.1:*:*:*:*:python:*:*
werkzeug
Version:
0.11.9
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.9:*:*:*:*:*:*:*
werkzeug
Version:
2.0.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.0.1:*:*:*:*:*:*:*
quart
Version:
0.6.2
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.2:*:*:*:*:python:*:*
quart
Version:
0.19.6
CPE:
cpe:2.3:a:palletsprojects:quart:0.19.6:*:*:*:*:python:*:*
werkzeug
Version:
0.5
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.5:*:*:*:*:*:*:*
quart
Version:
0.6.4
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.4:*:*:*:*:python:*:*
quart
Version:
0.6.15
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.15:*:*:*:*:python:*:*
werkzeug
Version:
2.2.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.2.2:*:*:*:*:*:*:*
werkzeug
Version:
0.9.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.9.3:*:*:*:*:*:*:*
quart
Version:
0.16.3
CPE:
cpe:2.3:a:palletsprojects:quart:0.16.3:*:*:*:*:python:*:*
werkzeug
Version:
0.14.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.14.1:*:*:*:*:*:*:*
quart
Version:
0.16.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.16.0:*:*:*:*:python:*:*
werkzeug
Version:
2.3.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.3.2:*:*:*:*:*:*:*
werkzeug
Version:
0.11.11
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.11:*:*:*:*:*:*:*
werkzeug
Version:
0.9.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.9.2:*:*:*:*:*:*:*
werkzeug
Version:
0.6
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.6:*:*:*:*:*:*:*
werkzeug
Version:
2.2.0
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.2.0:-:*:*:*:*:*:*
quart
Version:
0.11.4
CPE:
cpe:2.3:a:palletsprojects:quart:0.11.4:*:*:*:*:python:*:*
werkzeug
Version:
0.4
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.4:*:*:*:*:*:*:*
werkzeug
Version:
0.6.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.6.1:*:*:*:*:*:*:*
werkzeug
Version:
0.11.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.11.3:*:*:*:*:*:*:*
werkzeug
Version:
0.15.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.15.2:*:*:*:*:*:*:*
quart
Version:
0.6.8
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.8:*:*:*:*:python:*:*
werkzeug
Version:
0.15.6
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.15.6:*:*:*:*:*:*:*
werkzeug
Version:
2.1.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.1.2:*:*:*:*:*:*:*
quart
Version:
0.17.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.17.0:*:*:*:*:python:*:*
quart
Version:
0.19.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.19.0:*:*:*:*:python:*:*
quart
Version:
0.13.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.13.0:*:*:*:*:python:*:*
quart
Version:
0.16.1
CPE:
cpe:2.3:a:palletsprojects:quart:0.16.1:*:*:*:*:python:*:*
quart
Version:
0.8.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.8.0:*:*:*:*:python:*:*
quart
Version:
0.6.11
CPE:
cpe:2.3:a:palletsprojects:quart:0.6.11:*:*:*:*:python:*:*
werkzeug
Version:
2.2.3
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.2.3:*:*:*:*:*:*:*
werkzeug
Version:
2.0.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:2.0.2:*:*:*:*:*:*:*
werkzeug
Version:
0.10.4
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.10.4:*:*:*:*:*:*:*
werkzeug
Version:
0.12.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.12.2:*:*:*:*:*:*:*
quart
Version:
0.2.0
CPE:
cpe:2.3:a:palletsprojects:quart:0.2.0:*:*:*:*:python:*:*
werkzeug
Version:
0.12.1
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.12.1:*:*:*:*:*:*:*
werkzeug
Version:
0.10.2
CPE:
cpe:2.3:a:palletsprojects:werkzeug:0.10.2:*:*:*:*:*:*:*
This vulnerability affects 144 software configuration(s). Ensure you patch all affected systems.
Microsoft
2024-Dec-CVE-2024-49767
CVE-2024-49767: None
Severity
Unknown
Released
Oct 17, 2025
Security Update
Microsoft
2024-Oct-CVE-2024-49767
CVE-2024-49767: Werkzeug possible resource exhaustion when parsing file data in forms
Severity
Unknown
Released
Oct 01, 2025
Security Update
Oracle
CPUJUL2025
Oracle Critical Patch Update Advisory - July 2025
Severity
Critical
Released
Jul 15, 2025
Restart Required
Security Update
Oracle
CPUAPR2025
Oracle Critical Patch Update Advisory - April 2025
Severity
Critical
Released
Apr 15, 2025
Restart Required
Security Update
Oracle
CPUJAN2025
Oracle Critical Patch Update Advisory - January 2025
Severity
Critical
Released
Jan 21, 2025
Restart Required
Security Update
References & Resources
-
https://github.com/pallets/quart/commit/5e78c4169b8eb66b91ead3e62d44721b9e1644eesecurity-advisories@github.com Patch
-
https://github.com/pallets/quart/commit/abb04a512496206de279225340ed022852fbf51fsecurity-advisories@github.com
-
https://github.com/pallets/werkzeug/commit/50cfeebcb0727e18cc52ffbeb125f4a66551179bsecurity-advisories@github.com Patch
-
https://github.com/pallets/werkzeug/releases/tag/3.0.6security-advisories@github.com Release Notes
-
https://github.com/pallets/werkzeug/security/advisories/GHSA-q34m-jh98-gwm2security-advisories@github.com Vendor Advisory
-
https://security.netapp.com/advisory/ntap-20250103-0007/af854a3a-2127-422b-91ae-364da2661108
Severity Details
7.5
out of 10.0
High
Weakness Type (CWE)
CWE-400
Uncontrolled Resource Consumption
- Description
- The product does not properly control the allocation and maintenance of a limited resource.
- Exploit Likelihood
- High
- Typical Severity
- High
- Abstraction Level
- Class
Key Information
- Published Date
- October 25, 2024
