PT-2021-5797 · Lynx+8 · Lynx+8

Ariadne Conill

+2

·

Publicado

2021-03-15

·

Atualizado

2026-02-09

·

CVE-2021-38165

CVSS v3.1

5.3

Média

VetorAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões 2.8.9 e anteriores do Lynx
Descrição
O problema está relacionado ao tratamento incorreto do subcomponente userinfo de um URI, permitindo que invasores remotos descubram credenciais em texto simples, uma vez que estas podem aparecer nos dados SNI ou nos cabeçalhos HTTP. Isso pode permitir que um invasor remoto acesse dados confidenciais.
Recomendações
Para as versões 2.8.9 e anteriores, atualize para uma versão que corrija o problema de tratamento do subcomponente userinfo, a fim de impedir que credenciais em texto simples sejam expostas nos dados SNI ou nos cabeçalhos HTTP.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-522

Identificadores relacionados

ALSA-2022:2129
ALT-PU-2025-4725
BDU:2022-00255
CESA-2022_2129
CVE-2021-38165
DLA-2736-1
DSA-4953-1
MGASA-2021-0422
OESA-2021-1326
RHSA-2022:2129
RHSA-2022_2129
USN-4800-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Lynx
Red Hat
Red Os
Ubuntu