PT-2020-18474 · Cloud Controller · Capi
Publicado
2020-12-02
·
Atualizado
2020-12-04
·
CVE-2020-5423
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do CAPI (Cloud Controller) anteriores à 1.101.0
Descrição
A vulnerabilidade permite que um invasor mal-intencionado não autenticado envie arquivos YAML especialmente criados para determinados endpoints, fazendo com que o analisador YAML consuma recursos excessivos de CPU e RAM, resultando em um ataque de negação de serviço.
Recomendações
Para versões anteriores à 1.101.0, atualize para a versão 1.101.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao analisador YAML ou limitar o tamanho e a complexidade dos arquivos YAML que podem ser processados para minimizar o risco de exploração.
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Capi