PT-2021-5249 · Gsoap+1 · Gsoap+1
Publicado
2021-01-22
·
Atualizado
2022-07-21
·
CVE-2021-21783
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
gSOAP versão 2.8.107
Descrição
O problema está relacionado a um estouro de inteiro no plug-in WS-Addressing do software gSOAP durante o processamento de solicitações SOAP. Isso pode ser explorado por um invasor remoto para executar código arbitrário ao enviar solicitações HTTP especialmente criadas. A vulnerabilidade pode ser acionada pelo envio de uma solicitação SOAP criada, permitindo que um invasor execute código remotamente.
Recomendações
Para a versão 2.8.107 do gSOAP, considere desativar a funcionalidade do plug-in WS-Addressing até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao módulo de tratamento de solicitações SOAP para minimizar o risco de execução remota de código. Evite usar o plug-in WS-Addressing vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Gsoap