CVE-2021-23339

com.typesafe.akka:akka-http-core versões anteriores à 10.1.14

com.typesafe.akka:akka-http-core versões 10.2.0 a 10.2.4

A vulnerabilidade permite a presença de múltiplos cabeçalhos Transfer-Encoding, o que pode levar a uma mensagem malformada ser aceita por um servidor Akka HTTP vulnerável. Se essa mensagem for encaminhada para outro servidor sem inspeção, ela pode ser interpretada como duas mensagens HTTP, potencialmente contornando as verificações de segurança.

Para versões anteriores à 10.1.14, atualize para a versão 10.1.14 ou posterior.

Para as versões 10.2.0 a 10.2.4, atualize para uma versão posterior à 10.2.4.

Como solução alternativa temporária, considere restringir a aceitação de múltiplos cabeçalhos Transfer-Encoding na configuração do servidor Akka HTTP até que um patch esteja disponível.