PT-2021-7489 · Haproxy+2 · Haproxy+2

Tim Düsterhus

·

Publicado

2021-08-10

·

Atualizado

2024-06-15

·

CVE-2021-39240

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões 2.2 a 2.2.15 do HAProxy
Versões 2.3 a 2.3.12 do HAProxy
Versões 2.4 a 2.4.2 do HAProxy
Descrição
Foi descoberta uma falha no HAProxy que não garante que as partes de esquema e caminho de uma URI contenham os caracteres esperados. Por exemplo, o campo de autoridade pode diferir do que as regras de roteamento pretendiam alcançar, permitindo potencialmente que um invasor remoto acesse dados confidenciais devido à validação insuficiente de entradas.
Recomendações
Para as versões 2.2 a 2.2.15 do HAProxy, atualize para a versão 2.2.16 ou posterior.
Para as versões 2.3 a 2.3.12 do HAProxy, atualize para a versão 2.3.13 ou posterior.
Para as versões 2.4 a 2.4.2 do HAProxy, atualize para a versão 2.4.3 ou posterior.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2022-3040
ALT-PU-2023-1151
BDU:2022-06892
BIT-HAPROXY-2021-39240
CVE-2021-39240
DSA-4960-1
OESA-2021-1333
OPENSUSE-SU-2024:10839-1
RHSA-2021:4118
RHSA-2021:5208

Produtos afetados

Alt Linux
Astra Linux
Haproxy