O Pylons Project emitiu um alerta de segurança sobre uma vulnerabilidade crítica no servidor Waitress WSGI, identificada como CVE-2024-49768. Com uma pontuação CVSS de 9.1, essa falha representa um sério risco para aplicações que utilizam o Waitress, especialmente em ambientes de produção, onde estabilidade e segurança são essenciais. O Waitress é um servidor WSGI desenvolvido em Python, amplamente adotado em aplicações web de produção pela sua alta performance e compatibilidade com sistemas Unix e Windows.

Conhecido pela sua facilidade de uso e eficiência, o servidor não possui dependências externas além das bibliotecas padrão do Python. Suportando ambientes como CPython e PyPy 3 e com compatibilidade para HTTP/1.0 e HTTP/1.1, o Waitress é uma escolha popular entre desenvolvedores. A vulnerabilidade CVE-2024-49768 explora uma condição de corrida ao processar solicitações HTTP pipelined.

Um cliente remoto pode disparar essa falha ao enviar uma solicitação de tamanho exato ao parâmetro recv_bytes (configurado por padrão em 8192 bytes) seguida por uma segunda solicitação pipelined. Em cenários onde a função lookahead de solicitações está ativada, o servidor pode, de forma errônea, processar essa segunda solicitação, mesmo que a primeira falhe na análise inicial. Para aqueles que não podem aplicar a atualização imediatamente, o Pylons Project sugere uma solução temporária: desabilitar o channel_request_lookahead.