PT-2021-23660 · Lightbend · Akka Http

Simone Quatrini

Publicado

2021-11-02

Atualizado

2022-06-13

CVE-2021-42697

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Nome do software vulnerável e versões afetadas

Akka HTTP, versões 10.1.x a 10.1.14

Akka HTTP, versões 10.2.x a 10.2.6

Descrição

A vulnerabilidade permite que um invasor remoto realize um ataque de negação de serviço (DoS) enviando um cabeçalho User-Agent com comentários profundamente aninhados, causando esgotamento da pilha durante a análise dos cabeçalhos HTTP.

Recomendações

Para as versões do Akka HTTP 10.1.x a 10.1.14, atualize para a versão 10.1.15 ou posterior.

Para as versões do Akka HTTP 10.2.x a 10.2.6, atualize para a versão 10.2.7 ou posterior.

Exploit

Correção

Uncontrolled Recursion

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-674CWE-787

Identificadores relacionados

CVE-2021-42697

GHSA-3HW2-H67C-WQ66

Produtos afetados

Akka Http

PT-2021-23660 · Lightbend · Akka Http

CVE-2021-42697

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 14