PT-2022-16937 · Unknown · Http-Swagger
Govulnbot
+1
·
Publicado
2022-04-18
·
Atualizado
2025-01-16
·
CVE-2022-24863
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do http-swagger anteriores à 1.2.6
Descrição
A vulnerabilidade permite que um invasor realize um ataque de negação de serviço (DoS) que consiste no esgotamento da memória do sistema host devido ao tratamento inadequado de métodos HTTP. Isso também pode levar a outros comportamentos inesperados, como ataques de script entre sites (XSS), por meio do upload de arquivos maliciosos. Recomenda-se que os usuários atualizem para evitar o esgotamento de memória e possíveis ataques XSS.
Recomendações
Para versões anteriores à 1.2.6, atualize para a versão 1.2.6 para resolver o problema.
Como solução alternativa temporária para usuários que não possam atualizar, restrinja o prefixo do caminho ao método “GET” para minimizar o risco de exploração.
Exploit
Correção
Improper Handling of Exceptional Conditions
Resource Exhaustion
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Http-Swagger