PT-2022-20889 · Unknown · Reactor Netty Http Server

Publicado

2022-10-19

·

Atualizado

2022-10-21

·

CVE-2022-31684

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Reactor Netty HTTP Server, versões 1.0.11 a 1.0.23
Descrição
O problema afeta o registro dos cabeçalhos de solicitação em casos de solicitações HTTP inválidas. Quando o registro no nível WARN está habilitado, os cabeçalhos registrados podem revelar tokens de acesso válidos para quem tem acesso aos logs do servidor. Isso pode afetar apenas solicitações HTTP inválidas.
Recomendações
Para as versões 1.0.11 a 1.0.23 do Reactor Netty HTTP Server, considere desativar o registro de cabeçalhos de solicitação no nível WARN para solicitações HTTP inválidas até que uma correção esteja disponível. Restrinja o acesso aos logs do servidor para minimizar o risco de exploração.

Correção

Information Disclosure

Insertion into Log File

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-532

Identificadores relacionados

CVE-2022-31684
GHSA-7W4X-4H67-PGMV

Produtos afetados

Reactor Netty Http Server