PT-2020-21571 · Gosbundle · Gosbundle Websocketbundle
Publicado
2020-07-07
·
Atualizado
2020-07-07
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do GosBundle WebSocketBundle anteriores à 1.10.4
Versões do GosBundle WebSocketBundle anteriores à 2.6.1
Versões do GosBundle WebSocketBundle anteriores à 3.3.0
Descrição
Dentro da função
TopicDispatcher::onPublish(), mensagens podem ser transmitidas arbitrariamente para tópicos relacionados se o método dispatch() falhar. Essa falha pode ocorrer devido a definições de callback mal configuradas nas rotas de tópicos, implementações ausentes da TopicInterface, rejeição por tópicos que implementam SecuredTopicInterface ou exceções não tratadas. Isso pode resultar em transmissões indesejadas para o servidor WebSocket, potencialmente contendo dados confidenciais.Recomendações
Para versões anteriores à 1.10.4, atualize para a versão 1.10.4 para resolver o problema.
Para versões anteriores à 2.6.1, atualize para a versão 2.6.1 para resolver o problema.
Para versões anteriores à 3.3.0, atualize para a 3.3.0 para resolver o problema.
Como solução alternativa temporária, considere modificar a função
TopicDispatcher::onPublish() para impedir a transmissão de dados de eventos quando dispatch() falhar, até que um patch oficial possa ser aplicado.Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gosbundle Websocketbundle