PT-2021-21591 · M Files · M-Files Web
Murat Aydemir
·
Publicado
2021-12-03
·
Atualizado
2024-08-04
·
CVE-2021-37253
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do M-Files Web anteriores à 20.10.9524.1
Descrição
A vulnerabilidade permite um ataque de negação de serviço por meio da sobreposição de intervalos em solicitações HTTP com cabeçalhos
Range ou Request-Range manipulados. A vulnerabilidade é contestada, pois o comportamento dos intervalos é de responsabilidade do servidor web, e não da aplicação web em si.Recomendações
Para versões anteriores à 20.10.9524.1, atualize para a versão 20.10.9524.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a solicitações HTTP manipuladas com intervalos sobrepostos nos cabeçalhos
Range ou Request-Range até que um patch esteja disponível.Exploit
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
M-Files Web