PT-2021-11546 · Gin Gonic+2 · Gin+2

Publicado

2021-01-20

·

Atualizado

2021-06-23

·

CVE-2020-28483

CVSS v3.1

7.1

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
**Nome do software vulnerável e versões afetadas:
github.com/gin-gonic/gin versões anteriores à 1.7.7
Descrição:
A vulnerabilidade permite que o endereço IP de um cliente seja falsificado através da configuração do cabeçalho X-Forwarded-For quando o pacote gin está exposto diretamente à Internet. Isso se deve à sanitização inadequada do cabeçalho HTTP, o que pode permitir que um usuário contorne restrições baseadas em IP ou oculte sua verdadeira origem.
Recomendações:
Para versões anteriores à 1.7.7, atualize para a versão 1.7.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao cabeçalho X-Forwarded-For para minimizar o risco de falsificação de IP.

Correção

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444CWE-113

Identificadores relacionados

CVE-2020-28483
GHSA-H395-QCRW-5VMQ
GO-2021-0052
SNYK-GOLANG-GITHUBCOMGINGONICGIN-1041736

Produtos afetados

Astra Linux
Debian
Gin