CVE-2026-42545

Granian: DoS via WSGI response header panic

CVSS 5.9 MEDIUMEPSS 0.2%CWE-248 CWE-755

Vexday Risk Score

13Baixo

Decisão SSVC (CISA)

Track

Sem sinal de exploração → monitorar

CVSS 5.9EPSS 0.2%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

12 mai 2026Publicada no NVD

Recomendação: Monitorar — sem sinal de exploração no momento.

Granian is a Rust HTTP server for Python applications. From 0.2.0 to 2.7.4, Granian aborts a worker process if a WSGI application returns an invalid HTTP response header name or value. The WSGI response conversion path uses .unwrap() on both the header name and header value constructors, so malformed output from the application becomes a process abort instead of a handled error. This vulnerability is fixed in 2.7.4.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Produtos afetados

emmett-framework · granian

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/emmett-framework/granian/security/advisories/GHSA-f5p7-9fr5-8jmj