PT-2022-10741 · Undertow · Undertow

Flavia Rainone

·

Publicado

2022-07-15

·

Atualizado

2022-12-13

·

CVE-2021-3859

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Undertow anteriores à 2.2.15 Final
Descrição
Foi identificada uma falha no Undertow que provocava o tempo limite de invocação do lado do cliente em determinadas chamadas feitas via HTTP2. Essa falha permite que um invasor realize ataques de negação de serviço.
Recomendações
Para versões anteriores à 2.2.15 Final, atualize para a versão 2.2.15 Final ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a chamadas HTTP2 para minimizar o risco de exploração.

Correção

DoS

Exposure of Resource to Wrong Sphere

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-668CWE-400CWE-214

Identificadores relacionados

CVE-2021-3859
GHSA-339Q-62WM-C39W
RHSA-2022:0400
RHSA-2022:0401
RHSA-2022:0405
RHSA-2022:0447
RHSA-2022:0448
RHSA-2024:10207
RHSA-2025:4226

Produtos afetados

Undertow