PT-2021-11909 · Engine.Io · Engine.Io
Bcaller
·
Publicado
2021-01-07
·
Atualizado
2022-02-09
·
CVE-2020-36048
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Engine.IO anteriores à 4.0.0
Descrição:
A vulnerabilidade permite que invasores provoquem uma negação de serviço por meio de uma solicitação POST ao protocolo de transporte de long polling, resultando no consumo de recursos. Isso pode ser feito enviando uma solicitação POST ao endpoint
“/longpolling”, embora o endpoint exato não seja explicitamente mencionado nas descrições fornecidas.Recomendações:
Para versões anteriores à 4.0.0, atualize para a versão 4.0.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao transporte de long polling para minimizar o risco de exploração.
Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Engine.Io