PT-2022-1920 · Apache+11 · Apache Http Server+11

Publicado

2022-03-14

·

Atualizado

2026-01-01

·

CVE-2022-22720

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Servidor HTTP Apache versões 2.4.52 e anteriores
Descrição
O problema está relacionado ao tratamento inadequado de solicitações HTTP, o que pode permitir que um invasor remoto execute um ataque de contrabando de solicitações HTTP (HTTP Request Smuggling). Isso ocorre quando o servidor não consegue fechar uma conexão de entrada após encontrar erros ao descartar o corpo da solicitação. A vulnerabilidade pode ser explorada enviando-se uma solicitação HTTP especialmente criada para o servidor, permitindo que o invasor contrabandeie cabeçalhos HTTP arbitrários.
Recomendações
Para as versões 2.4.52 e anteriores do Apache HTTP Server, atualize para a versão 2.4.53 para resolver o problema.

Exploit

Correção

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

ALSA-2022:1049
ALT-PU-2022-1522
ALT-PU-2022-1553
ALT-PU-2022-1574
ALT-PU-2022-1602
AZL-9016
BDU:2022-01456
BIT-APACHE-2022-22720
CESA-2022_1045
CESA-2022_1049
CVE-2022-22720
DLA-2960-1
MGASA-2022-0105
OESA-2022-1596
OPENSUSE-SU-2022:1031-1
OPENSUSE-SU-2022_1031-1
OPENSUSE-SU-2024:11919-1
RHSA-2022:1045
RHSA-2022:1049
RHSA-2022:1072
RHSA-2022:1075
RHSA-2022:1080
RHSA-2022:1102
RHSA-2022:1136
RHSA-2022:1137
RHSA-2022:1138
RHSA-2022:1139
RHSA-2022:1173
RHSA-2022:1389
RHSA-2022_1045
RHSA-2022_1049
RHSA-2022_1173
RLSA-2022:1049
ROSA-SA-2023-2158
SUSE-SU-2022:0918-1
SUSE-SU-2022:0928-1
SUSE-SU-2022:0929-1
SUSE-SU-2022:1031-1
SUSE-SU-2022:14924-1
SUSE-SU-2022_14924-1
USN-5333-1
USN-5333-2

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Linuxmint
Apple Macos
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu