PT-2020-12284 · Red Hat · Undertow
Publicado
2020-09-23
·
Atualizado
2022-02-22
·
CVE-2020-10687
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Undertow anteriores à 2.2.0.Final
Descrição
Foi descoberta uma falha no Undertow que permite o contrabando de solicitações HTTP contra HTTP/1.x e HTTP/2, devido à permissão de caracteres inválidos em uma solicitação HTTP. Esse problema pode ser explorado para contaminar um cache da web, realizar um ataque de script entre sites (XSS) ou obter informações confidenciais de solicitações que não sejam do próprio invasor.
Recomendações
Para versões anteriores à 2.2.0.Final, atualize para o Undertow 2.2.0.Final para resolver o problema. Como solução temporária, considere restringir as solicitações HTTP para impedir que caracteres inválidos sejam processados até que um patch esteja disponível.
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Undertow