PT-2021-3586 · Apache+5 · Apache Tomcat+5
Publicado
2021-06-15
·
Atualizado
2026-03-26
·
CVE-2021-33037
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat de 8.5.0 a 8.5.66
Versões do Apache Tomcat de 9.0.0.M1 a 9.0.46
Versões do Apache Tomcat de 10.0.0-M1 a 10.0.6
Descrição
O problema está relacionado à análise incorreta do cabeçalho de solicitação HTTP transfer-encoding em determinadas circunstâncias, levando à possibilidade de contrabando de solicitações quando usado com um proxy reverso. Especificamente, o Tomcat ignorava incorretamente o cabeçalho de codificação de transferência se o cliente declarasse que aceitaria apenas uma resposta HTTP/1.0; o Tomcat respeitava a codificação de identificação e não garantia que, se presente, a codificação em blocos fosse a codificação final. Isso pode permitir que um invasor remoto envie uma solicitação HTTP oculta.
Recomendações
Para as versões 8.5.0 a 8.5.66 do Apache Tomcat, atualize para uma versão que analise corretamente o cabeçalho de solicitação HTTP transfer-encoding.
Para as versões 9.0.0.M1 a 9.0.46 do Apache Tomcat, atualize para uma versão que analise corretamente o cabeçalho de solicitação HTTP transfer-encoding.
Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.6, atualize para uma versão que analise corretamente o cabeçalho de solicitação HTTP transfer-encoding.
Como solução alternativa temporária, considere restringir o acesso ao módulo vulnerável para minimizar o risco de exploração.
Exploit
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat
Astra Linux
Linuxmint
Suse
Ubuntu