CVE-2021-23937

**Nome do software vulnerável e versões afetadas:

Versões 9.2.0 e anteriores do Apache Wicket

Versões 8.11.0 e anteriores do Apache Wicket

Versões 7.17.0 e anteriores do Apache Wicket

Versões 6.2.0 e posteriores do Apache Wicket

Descrição:

Uma vulnerabilidade de proxy DNS e possível ataque de amplificação no WebClientInfo do Apache Wicket permite que um invasor acione consultas DNS arbitrárias a partir do servidor quando o cabeçalho X-Forwarded-For não é devidamente sanitizado. Essa consulta DNS pode ser manipulada para sobrecarregar um servidor DNS interno ou para retardar o processamento de solicitações do aplicativo Apache Wicket, causando uma possível negação de serviço na infraestrutura interna ou no próprio aplicativo web.

Recomendações:

Para as versões 9.2.0 e anteriores do Apache Wicket, atualize para uma versão posterior à 9.2.0 para resolver o problema.

Para as versões 8.11.0 e anteriores do Apache Wicket, atualize para uma versão posterior à 8.11.0 para resolver o problema.

Para as versões 7.17.0 e anteriores do Apache Wicket, atualize para uma versão posterior à 7.17.0 para resolver o problema.

Para as versões 6.2.0 e posteriores do Apache Wicket, considere desativar o componente WebClientInfo até que um patch esteja disponível.