PT-2021-6521 · Google+7 · Go+7
Asta Olofsson
+1
·
Publicado
2021-02-19
·
Atualizado
2024-06-15
·
CVE-2021-33197
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 1.15.12 e anteriores do Go
Versões 1.16.x do Go anteriores à 1.16.5
Descrição
O problema está relacionado ao componente ReverseProxy do pacote net/http/httputil na linguagem de programação Go, o que pode resultar em uma situação em que um invasor consiga inserir cabeçalhos arbitrários. Isso pode ocorrer quando o ReverseProxy é configurado de determinada maneira, permitindo que um invasor comprometa a integridade dos dados. A vulnerabilidade pode ser explorada por um invasor remoto.
Recomendações
Para as versões 1.15.12 e anteriores do Go, atualize para a versão 1.15.13 ou posterior.
Para as versões 1.16.x anteriores à 1.16.5 do Go, atualize para a versão 1.16.5 ou posterior.
Como solução temporária, considere restringir o uso do componente ReverseProxy até que um patch esteja disponível.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Go
Red Hat
Rocky Linux
Suse