PT-2020-7930 · Facebook · Hhvm
Publicado
2020-02-19
·
Atualizado
2020-03-06
·
CVE-2016-1000109
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do HHVM anteriores à 3.9.6
Versões do HHVM da 3.10.0 à 3.12.4
Versões do HHVM da 3.13.0 à 3.14.2
Descrição:
A vulnerabilidade permite que invasores remotos redirecionem o tráfego HTTP de saída de um aplicativo CGI para um servidor proxy arbitrário por meio de um cabeçalho Proxy malicioso em uma solicitação HTTP, devido à presença de dados de cliente não confiáveis na variável de ambiente HTTP PROXY. Isso está relacionado à não resolução dos conflitos de namespace descritos na seção 4.1.18 da RFC 3875.
Recomendações:
Para versões anteriores à 3.9.6, atualize para a versão 3.9.6 ou posterior.
Para as versões 3.10.0 a 3.12.4, atualize para uma versão fora desse intervalo.
Para as versões 3.13.0 a 3.14.2, atualize para uma versão fora desse intervalo.
Como solução alternativa temporária, considere restringir o acesso à variável de ambiente HTTP PROXY para minimizar o risco de exploração.
Exploit
Correção
Improper Initialization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hhvm