CVE-2026-21441 | urllib3 vulnerable to decompression-bomb safeguard bypass when following HTTP redirects (streaming API)

urllib3 is an HTTP client library for Python. urllib3's streaming API is designed for the efficient handling of large HTTP responses by reading the content in chunks, rather than loading the entire response body into memory at once. urllib3 can perform decoding or decompression based on the HTTP `Content-Encoding` header (e.g., `gzip`, `deflate`, `br`, or `zstd`). When using the streaming API, the library decompresses only the necessary bytes, enabling partial content consumption. Starting in version 1.22 and prior to version 2.6.3, for HTTP redirect responses, the library would read the entire response body to drain the connection and decompress the content unnecessarily. This decompression occurred even before any read methods were called, and configured read limits did not restrict the amount of decompressed data. As a result, there was no safeguard against decompression bombs. A malicious server could exploit this to trigger excessive resource consumption on the client. Applications and libraries are affected when they stream content from untrusted sources by setting `preload_content=False` when they do not disable redirects. Users should upgrade to at least urllib3 v2.6.3, in which the library does not decode content of redirect responses when `preload_content=False`. If upgrading is not immediately possible, disable redirects by setting `redirect=False` for requests to untrusted source.

公開: 2026-01-07 最終更新: 2026-07-14 Assigner: [email protected] ソース: [email protected]

総合評価: CVE-2026-21441 は高リスク(66.9/100)。CVSS 深刻度は高。悪用される可能性が高い(EPSS 2.67%、84 パーセンタイル) 根拠: 直近 1 日で EPSS が +1.99% 上昇。悪用への関心が高まっている可能性があります。 推奨対応: 悪用可能性が高いため、影響範囲の確認と修補の優先付けを推奨します。

リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。

CVE-2026-21441 の EPSS(Exploit Prediction Scoring System)スコア

EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。

# 日付 旧 EPSS スコア 新 EPSS スコア Δ(新 − 旧)
1 2026-06-30 0.68% 2.67% +1.99%
2 2026-06-23 0.52% 0.68% +0.16%
3 2026-06-15 0.52%

EPSS の全履歴 (全 4 件)

CVE-2026-21441 の CVSS(Common Vulnerability Scoring System)指標

この CVE の CVSS 指標。

ベーススコア バージョン 深刻度 ベクトル 悪用しやすさ 影響 スコアの出典
8.9 4.0 HIGH
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X クリックして展開
攻撃ベクター (AV:N)
インターネットや社内 WAN など、ルーティングされたネットワーク越しに遠隔から踏み台にしうる。
攻撃の複雑さ (AC:L)
手順が短く、再現性が高い。
攻撃要件 (AT:P)
特定のミドルウェア状態やデータ配置など、追加前提が揃わないと成立しない。
必要な権限 (PR:N)
昇格やログインなしで踏み台にしうる。
ユーザーの関与 (UI:N)
被害者の操作なしでも攻撃が完結しうる。
脆弱システムの機密性への影響 (VC:N)
脆弱な対象から機微情報が読まれうる余地はほとんどない。
脆弱システムの完全性への影響 (VI:N)
改ざん・なりすましで信頼が揺らぐ局面はほとんど想定されない。
脆弱システムの可用性への影響 (VA:H)
長時間のサービス不能やデータ損壊に伴う復旧困難が現実的。
後続システムの機密性への影響 (SC:N)
脆弱点を経由して下流の機微情報が読まれうる余地はほとんどない。
後続システムの完全性への影響 (SI:N)
下流の記録や設定が歪められる局面はほとんど想定されない。
後続システムの可用性への影響 (SA:H)
下流に波及する長時間停止やカスケード障害が現実的。
悪用の成熟度(Threat) (E:X)
Threat 情報が未指定のとき、最悪側(実害報告あり)に寄せて採点する。
機密性に対するセキュリティ要件(環境) (CR:X)
未指定のときは情報不足とみなし、スコア上は高要求(保守的)として扱う。
完全性に対するセキュリティ要件(環境) (IR:X)
未指定のときは情報不足とみなし、スコア上は高要求(保守的)として扱う。
可用性に対するセキュリティ要件(環境) (AR:X)
未指定のときは情報不足とみなし、スコア上は高要求(保守的)として扱う。
変更後の攻撃ベクター (MAV:X)
環境側で上書きしない限り、ベースの AV を採用。
変更後の攻撃の複雑さ (MAC:X)
環境側で上書きしない限り、ベースの AC を採用。
変更後の攻撃要件 (MAT:X)
環境側で上書きしない限り、ベースの AT を採用。
変更後の必要な権限 (MPR:X)
環境側で上書きしない限り、ベースの PR を採用。
変更後のユーザーの関与 (MUI:X)
環境側で上書きしない限り、ベースの UI を採用。
変更後の脆弱システムの機密性への影響 (MVC:X)
環境側で上書きしない限り、ベースの VC を採用。
変更後の脆弱システムの完全性への影響 (MVI:X)
環境側で上書きしない限り、ベースの VI を採用。
変更後の脆弱システムの可用性への影響 (MVA:X)
環境側で上書きしない限り、ベースの VA を採用。
変更後の後続システムの機密性への影響 (MSC:X)
環境側で上書きしない限り、ベースの SC を採用。
変更後の後続システムの完全性への影響 (MSI:X)
環境側で上書きしない限り、ベースの SI を採用。
変更後の後続システムの可用性への影響 (MSA:X)
環境側で上書きしない限り、ベースの SA を採用。
安全性(補足、スコア非変更) (S:X)
人的安全への追加評価を行わない。
自動化可否(補足、スコア非変更) (AU:X)
キルチェーン自動化の評価を行わない。
復旧(補足、スコア非変更) (R:X)
サービス復元パスの評価を行わない。
価値密度(補足、スコア非変更) (V:X)
一撃で握れる資産規模の評価を行わない。
対応工数(補足、スコア非変更) (RE:X)
修復コストの評価を行わない。
提供元の緊急度(補足、スコア非変更) (U:X)
ベンダー色分けの緊急度を付さない。
[email protected]
7.5 3.1 HIGH
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H クリックして展開
攻撃ベクター (AV:N)
インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L)
攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:N)
事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:N)
メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U)
影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:N)
機微情報の漏えいは想定しにくい。
完全性への影響 (I:N)
改ざん・なりすましによる信頼毀損は軽微か、想定されない。
可用性への影響 (A:H)
長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。
3.9 3.6 [email protected]
7.5 3.1 HIGH
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H クリックして展開
攻撃ベクター (AV:N)
インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L)
攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:N)
事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:N)
メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U)
影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:N)
機微情報の漏えいは想定しにくい。
完全性への影響 (I:N)
改ざん・なりすましによる信頼毀損は軽微か、想定されない。
可用性への影響 (A:H)
長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。
3.9 3.6 0b0ca135-0b70-47e7-9f44-1890c2a1c46c

CVE-2026-21441 の弱点分類(列挙)

CVE-2026-21441 の GitHub Security Advisory

GHSA-38jv-5279-wg99 · 深刻度: high · エコシステム: pip — Decompression-bomb safeguards bypassed when following HTTP redirects (streaming API)

CVE-2026-21441 の OS トラッカー

vendor priority summary link
alpine CVE-2026-21441: 1 source package rows (py3-urllib3); 32 state rows across 6 repos (3.19-main, 3.20-main, 3.21-main, 3.22-main, 3.23-main, edge-main); fixed 5, open 27. https://security.alpinelinux.org/vuln/CVE-2026-21441
debian not yet assigned CVE-2026-21441 not yet assigned priority: Debian including 1 source packages (python-urllib3), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 5. https://security-tracker.debian.org/tracker/CVE-2026-21441
redhat high https://access.redhat.com/security/cve/CVE-2026-21441
suse medium CVE-2026-21441 severity moderate: SUSE including 382 source package names (2.1.3-6.24:NetworkManager-1.42.6-6.1, 2.1.3-6.24:NetworkManager-wwan-1.42.6-6.1, …), 636 product×package rows across 202 product lines (Container suse/manager/4.3/proxy-tftpd, Container suse/manager/5.0/x86_64/proxy-tftpd, … (202 product lines)): Fixed 402, Known Affected 231, First Fixed 3. https://www.suse.com/security/cve/CVE-2026-21441/
ubuntu medium CVE-2026-21441 medium priority: Ubuntu including 2 source packages (python-pip, python-urllib3), 18 status rows across 9 suites (bionic, focal, jammy, noble, plucky, questing, trusty, upstream, xenial): released 6, not-affected 4, ignored 3, needed 3, needs-triage 2. https://ubuntu.com/security/CVE-2026-21441

CVE-2026-21441 の影響を受けるソフトウェア/構成

ベンダー 製品 バージョン 生の CPE
python urllib3 >= 1.22, < 2.6.3 cpe:2.3:a:python:urllib3:*:*:*:*:*:*:*:*

CVE-2026-21441 の参考情報

URL タグ
https://github.com/urllib3/urllib3/commit/8864ac407bba8607950025e0979c4c69bc7abc7b Patch
https://github.com/urllib3/urllib3/security/advisories/GHSA-38jv-5279-wg99 Vendor Advisory
https://lists.debian.org/debian-lts-announce/2026/01/msg00017.html
https://access.redhat.com/errata/RHSA-2026:0981
https://access.redhat.com/errata/RHSA-2026:0990
https://access.redhat.com/errata/RHSA-2026:10184
https://access.redhat.com/errata/RHSA-2026:1038
https://access.redhat.com/errata/RHSA-2026:1041
https://access.redhat.com/errata/RHSA-2026:1042
https://access.redhat.com/errata/RHSA-2026:1086
https://access.redhat.com/errata/RHSA-2026:1087
https://access.redhat.com/errata/RHSA-2026:1088
https://access.redhat.com/errata/RHSA-2026:1089
https://access.redhat.com/errata/RHSA-2026:1166
https://access.redhat.com/errata/RHSA-2026:1168
https://access.redhat.com/errata/RHSA-2026:1176
https://access.redhat.com/errata/RHSA-2026:1224
https://access.redhat.com/errata/RHSA-2026:1226
https://access.redhat.com/errata/RHSA-2026:1239
https://access.redhat.com/errata/RHSA-2026:1240
https://access.redhat.com/errata/RHSA-2026:1241
https://access.redhat.com/errata/RHSA-2026:1254
https://access.redhat.com/errata/RHSA-2026:1485
https://access.redhat.com/errata/RHSA-2026:14877
https://access.redhat.com/errata/RHSA-2026:1504
https://access.redhat.com/errata/RHSA-2026:1546
https://access.redhat.com/errata/RHSA-2026:1596
https://access.redhat.com/errata/RHSA-2026:1599
https://access.redhat.com/errata/RHSA-2026:1609
https://access.redhat.com/errata/RHSA-2026:1618
https://access.redhat.com/errata/RHSA-2026:1619
https://access.redhat.com/errata/RHSA-2026:1652
https://access.redhat.com/errata/RHSA-2026:1674
https://access.redhat.com/errata/RHSA-2026:1676
https://access.redhat.com/errata/RHSA-2026:1693
https://access.redhat.com/errata/RHSA-2026:1704
https://access.redhat.com/errata/RHSA-2026:1706
https://access.redhat.com/errata/RHSA-2026:1712
https://access.redhat.com/errata/RHSA-2026:1717
https://access.redhat.com/errata/RHSA-2026:1726
https://access.redhat.com/errata/RHSA-2026:1729
https://access.redhat.com/errata/RHSA-2026:1730
https://access.redhat.com/errata/RHSA-2026:1734
https://access.redhat.com/errata/RHSA-2026:1735
https://access.redhat.com/errata/RHSA-2026:1736
https://access.redhat.com/errata/RHSA-2026:17456
https://access.redhat.com/errata/RHSA-2026:17457
https://access.redhat.com/errata/RHSA-2026:17460
https://access.redhat.com/errata/RHSA-2026:17461
https://access.redhat.com/errata/RHSA-2026:17462
https://access.redhat.com/errata/RHSA-2026:17463
https://access.redhat.com/errata/RHSA-2026:1791
https://access.redhat.com/errata/RHSA-2026:1792
https://access.redhat.com/errata/RHSA-2026:1793
https://access.redhat.com/errata/RHSA-2026:1794
https://access.redhat.com/errata/RHSA-2026:1803
https://access.redhat.com/errata/RHSA-2026:1805
https://access.redhat.com/errata/RHSA-2026:1942
https://access.redhat.com/errata/RHSA-2026:1957
https://access.redhat.com/errata/RHSA-2026:19712
https://access.redhat.com/errata/RHSA-2026:2106
https://access.redhat.com/errata/RHSA-2026:2126
https://access.redhat.com/errata/RHSA-2026:2137
https://access.redhat.com/errata/RHSA-2026:2139
https://access.redhat.com/errata/RHSA-2026:2144
https://access.redhat.com/errata/RHSA-2026:2256
https://access.redhat.com/errata/RHSA-2026:2456
https://access.redhat.com/errata/RHSA-2026:2500
https://access.redhat.com/errata/RHSA-2026:25127
https://access.redhat.com/errata/RHSA-2026:2563
https://access.redhat.com/errata/RHSA-2026:2681
https://access.redhat.com/errata/RHSA-2026:2695
https://access.redhat.com/errata/RHSA-2026:2717
https://access.redhat.com/errata/RHSA-2026:2718
https://access.redhat.com/errata/RHSA-2026:2723
https://access.redhat.com/errata/RHSA-2026:2728
https://access.redhat.com/errata/RHSA-2026:2760
https://access.redhat.com/errata/RHSA-2026:2762
https://access.redhat.com/errata/RHSA-2026:2764
https://access.redhat.com/errata/RHSA-2026:2765
https://access.redhat.com/errata/RHSA-2026:28043
https://access.redhat.com/errata/RHSA-2026:28441
https://access.redhat.com/errata/RHSA-2026:2900
https://access.redhat.com/errata/RHSA-2026:2911
https://access.redhat.com/errata/RHSA-2026:2919
https://access.redhat.com/errata/RHSA-2026:2924
https://access.redhat.com/errata/RHSA-2026:2925
https://access.redhat.com/errata/RHSA-2026:2926
https://access.redhat.com/errata/RHSA-2026:3296
https://access.redhat.com/errata/RHSA-2026:33154
https://access.redhat.com/errata/RHSA-2026:3406
https://access.redhat.com/errata/RHSA-2026:3444
https://access.redhat.com/errata/RHSA-2026:3461
https://access.redhat.com/errata/RHSA-2026:3462
https://access.redhat.com/errata/RHSA-2026:3713
https://access.redhat.com/errata/RHSA-2026:3782
https://access.redhat.com/errata/RHSA-2026:3869
https://access.redhat.com/errata/RHSA-2026:3874
https://access.redhat.com/errata/RHSA-2026:3884
https://access.redhat.com/errata/RHSA-2026:3960
https://access.redhat.com/errata/RHSA-2026:4185
https://access.redhat.com/errata/RHSA-2026:4215
https://access.redhat.com/errata/RHSA-2026:4271
https://access.redhat.com/errata/RHSA-2026:4466
https://access.redhat.com/errata/RHSA-2026:4467
https://access.redhat.com/errata/RHSA-2026:5459
https://access.redhat.com/errata/RHSA-2026:6287
https://access.redhat.com/errata/RHSA-2026:6292
https://access.redhat.com/errata/RHSA-2026:8151
https://access.redhat.com/errata/RHSA-2026:8500
https://access.redhat.com/errata/RHSA-2026:8501
https://access.redhat.com/security/cve/CVE-2026-21441
https://bugzilla.redhat.com/show_bug.cgi?id=2427726
https://security.access.redhat.com/data/csaf/v2/vex/2026/cve-2026-21441.json
cvelogic Threat Intelligence