PT-2021-4365 · Llhttp+6 · Llhttp+6

Publicado

2021-10-14

Atualizado

2026-05-18

CVE-2021-22959

CVSS v2.0

Alta

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões do llhttp anteriores à 2.1.4

Versões do llhttp anteriores à 6.0.6

Descrição

O problema está relacionado ao analisador do llhttp, que aceita solicitações com um espaço logo após o nome do cabeçalho e antes dos dois pontos, levando a um ataque de contrabando de solicitação HTTP (HRS). Essa inconsistência na interpretação dos cabeçalhos de solicitação HTTP pode ser explorada por um invasor remoto para, potencialmente, elevar seus privilégios.

Recomendações

Para versões do llhttp anteriores à 2.1.4, atualize para a versão 2.1.4 ou posterior.

Para versões do llhttp anteriores à 6.0.6, atualize para a versão 6.0.6 ou posterior.

Exploit

Correção

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

ALSA-2021:5171

ALSA-2022:0350

ALT-PU-2021-3557

ALT-PU-2021-3615

ALT-PU-2022-3073

BDU:2021-04995

CESA-2021_5171

CESA-2022_0350

CLEANSTART-2026-BD71263

CLEANSTART-2026-IS74202

CLEANSTART-2026-JR35772

CLEANSTART-2026-JY06700

CLEANSTART-2026-KN34553

CLEANSTART-2026-KZ45320

CLEANSTART-2026-LJ44720

CLEANSTART-2026-LN12820

CLEANSTART-2026-TX00223

CLEANSTART-2026-WI75198

CVE-2021-22959

DSA-5170-1

MGASA-2021-0592

OESA-2022-1620

OPENSUSE-SU-2021:1552-1

OPENSUSE-SU-2021:1574-1

OPENSUSE-SU-2021:3940-1

OPENSUSE-SU-2021:3964-1

OPENSUSE-SU-2021_1552-1

OPENSUSE-SU-2021_1574-1

OPENSUSE-SU-2021_3940-1

OPENSUSE-SU-2021_3964-1

OPENSUSE-SU-2022_2855-1

OPENSUSE-SU-2024:11616-1

OPENSUSE-SU-2024:11637-1

OPENSUSE-SU-2024:12237-1

OPENSUSE-SU-2025:15095-1

RHSA-2021:5171

RHSA-2021_5171

RHSA-2022:0041

RHSA-2022:0246

RHSA-2022:0350

RHSA-2022:4914

RHSA-2022_0350

RLSA-2021:5171

RLSA-2022:0350

SUSE-SU-2021:3886-1

SUSE-SU-2021:3940-1

SUSE-SU-2021:3964-1

SUSE-SU-2021_3886-1

SUSE-SU-2021_3940-1

SUSE-SU-2021_3964-1

SUSE-SU-2022:0101-1

SUSE-SU-2022:2855-1

SUSE-SU-2022_0101-1

Produtos afetados

Alt Linux

Almalinux

Centos

Red Hat

Rocky Linux

Suse

Llhttp

PT-2021-4365 · Llhttp+6 · Llhttp+6

CVE-2021-22959

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 257