PT-2020-7788 · Tornado+1 · Tornado+1

Publicado

2015-07-01

·

Atualizado

2022-05-17

·

CVE-2014-9720

CVSS v4.0

7.1

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
**Nome do software vulnerável e versões afetadas:
Versões do Tornado anteriores à 3.2.2
Descrição:
A vulnerabilidade permite que invasores remotos realizem um ataque BREACH e determinem um token CSRF fixo por meio de uma série de solicitações maliciosas, uma vez que o Tornado envia respostas arbitrárias que contêm esse token e podem ser enviadas com compressão HTTP.
Recomendações:
Para versões anteriores à 3.2.2, atualize para a versão 3.2.2 ou posterior para resolver o problema.

Correção

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-203

Identificadores relacionados

CVE-2014-9720
DLA-279-1
DLA-475-1
GHSA-8VPW-MGPF-MPVV
MGASA-2015-0251
PYSEC-2020-213
SUSE-SU-2016:1195-1
SUSE-SU-2016_1195-1

Produtos afetados

Suse
Tornado