PT-2021-6447 · Hyper · Hyper
Asta Olofsson
+1
·
Publicado
2021-07-07
·
Atualizado
2021-07-22
·
CVE-2021-32715
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do hyper anteriores à 0.14.10
Descrição
O problema está relacionado à análise e aceitação incorretas de solicitações com um cabeçalho
Content-Length contendo um sinal de mais como prefixo. Isso pode levar a “contrabando de solicitações” ou “ataques de dessincronização” quando combinado com um proxy HTTP upstream que não analisa tais cabeçalhos, mas os encaminha. A probabilidade estimada de um ataque explorar essa vulnerabilidade é considerada baixa devido às condições específicas necessárias.Recomendações
Para versões anteriores à 0.14.10, considere as seguintes soluções alternativas:
-
Rejeite manualmente as solicitações que contenham um prefixo de sinal de mais no cabeçalho
Content-Length. -
Certifique-se de que qualquer proxy upstream trate os cabeçalhos
Content-Lengthcom um prefixo de sinal de mais.
Para uma correção permanente, atualize para a versão 0.14.10 ou posterior.
Exploit
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hyper