CVE-2020-13935

**Nome do software vulnerável e versões afetadas:

Versões do Apache Tomcat de 7.0.27 a 7.0.104

Versões do Apache Tomcat de 8.5.0 a 8.5.56

Versões do Apache Tomcat de 9.0.0.M1 a 9.0.36

Versões do Apache Tomcat 10.0.0-M1 a 10.0.0-M6

Descrição:

O problema está relacionado à execução de um loop sem condição de saída no servidor Apache Tomcat. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O problema reside na validação incorreta do comprimento da carga útil em um quadro WebSocket, o que pode acionar um loop infinito. Várias solicitações com comprimentos de carga inválidos podem levar a uma negação de serviço.

Recomendações:

Para as versões do Apache Tomcat 7.0.27 a 7.0.104, atualize para uma versão que valide corretamente o comprimento da carga nos quadros WebSocket.

Para as versões 8.5.0 a 8.5.56 do Apache Tomcat, atualize para uma versão que valide corretamente o comprimento da carga útil nos quadros WebSocket.

Para as versões 9.0.0.M1 a 9.0.36 do Apache Tomcat, atualize para uma versão que valide corretamente o comprimento da carga útil nos quadros WebSocket.

Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.0-M6, atualize para uma versão que valide corretamente o comprimento da carga útil nos quadros WebSocket.

Como solução alternativa temporária, considere restringir o acesso à funcionalidade WebSocket até que um patch esteja disponível.