PT-2022-10597 · Undertow · Undertow

Andrew Marinchuk

·

Publicado

2022-07-15

·

Atualizado

2024-11-08

·

CVE-2021-3690

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Undertow anteriores à 2.0.40
Versões do Undertow anteriores à 2.2.10
Descrição
Foi identificada uma falha no Undertow, na qual um vazamento de buffer na mensagem PONG recebida do WebSocket pode levar ao esgotamento da memória, permitindo que um invasor provoque uma negação de serviço. A principal ameaça associada a este problema é a disponibilidade.
Recomendações
Para versões do Undertow anteriores à 2.0.40, atualize para a versão 2.0.40 ou posterior para resolver o problema.
Para versões do Undertow anteriores à 2.2.10, atualize para a versão 2.2.10 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso às mensagens WebSocket PONG para minimizar o risco de exploração.

Exploit

Correção

DoS

Memory Leak

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-401CWE-400

Identificadores relacionados

CVE-2021-3690
GHSA-FJ7C-VG2V-CCRM
OESA-2024-2353
RHSA-2021:3217
RHSA-2021:3219
RHSA-2021:3466
RHSA-2021:3467
RHSA-2021:3468
RHSA-2021:3656
RHSA-2021:3658
RHSA-2025:4226

Produtos afetados

Undertow