PT-2022-22874 · Proxmox+2 · Proxmox Mail Gateway+4
Cursered
·
Publicado
2022-07-08
·
Atualizado
2025-04-22
·
CVE-2022-35507
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do Proxmox Virtual Environment anteriores ao pve-http-server 4.1-3
Versões do Proxmox Mail Gateway anteriores ao pve-http-server 4.1-3
Descrição
Uma vulnerabilidade de injeção de CRLF no cabeçalho de resposta na interface web permite que um invasor remoto defina cookies no navegador da vítima com tamanho superior ao esperado pelo servidor, causando um DoS no lado do cliente. Isso afeta navegadores baseados no Chromium, pois eles permitem a injeção de cabeçalhos de resposta com %0d.
Recomendações
Para versões do Proxmox Virtual Environment anteriores ao pve-http-server 4.1-3, atualize para o pve-http-server 4.1-3 para resolver o problema.
Para versões do Proxmox Mail Gateway anteriores ao pve-http-server 4.1-3, atualize para o pve-http-server 4.1-3 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à interface web até que um patch esteja disponível.
Exploit
Correção
DoS
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Chromium
Proxmox Mail Gateway
Proxmox Virtual Environment
Pve-Http-Server