CVE-2021-21328

Versões do Vapor anteriores à 4.40.1

A vulnerabilidade permite um ataque de Negação de Serviço (DoS) contra aplicativos Vapor que tenham um backend de métricas habilitado. Um invasor pode enviar solicitações ilimitadas com diferentes caminhos para uma instância do Vapor, criando contadores e temporizadores ilimitados que acabarão por sobrecarregar o sistema. Serviços a jusante também podem ser afetados, pois podem ser inundados com caminhos de erro.

Para versões anteriores à 4.40.1, atualize para a versão 4.40.1, na qual o DefaultResponder reescreverá quaisquer caminhos de rota indefinidos para vapor route undefined a fim de evitar contadores ilimitados. Como solução temporária, considere não inicializar um sistema de métricas até que o problema seja resolvido.