PT-2022-4349 · Mod Wsgi+10 · Mod Wsgi+10

Arseniy Sharoglazov

·

Publicado

2022-07-18

·

Atualizado

2025-05-13

·

CVE-2022-2255

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
mod wsgi (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no mod wsgi está relacionada a erros no processamento do cabeçalho X-Client-IP. Esse problema permite que um invasor transmita o cabeçalho X-Client-IP para a aplicação WSGI de destino, pois a condição para removê-lo não é aplicada quando a solicitação provém de um proxy não confiável. A exploração desse problema pode permitir que um invasor remoto obtenha acesso não autorizado a serviços de rede.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345CWE-348

Identificadores relacionados

ALSA-2025:4791
ALT-PU-2022-2741
ALT-PU-2023-7563
ALT-PU-2024-2024
ALT-PU-2024-6810
AZL-10734
BDU:2022-05209
BIT-MOD_WSGI-2022-2255
CESA-2025_4791
CVE-2022-2255
DLA-3111-1
GHSA-7527-8855-9CF8
INFSA-2025_4791
MGASA-2022-0289
OESA-2022-1827
OPENSUSE-SU-2022_4010-1
OPENSUSE-SU-2022_4488-1
OPENSUSE-SU-2024:12535-1
PYSEC-2022-254
RHSA-2025:4791
RHSA-2025_4791
SUSE-SU-2022:4010-1
SUSE-SU-2022:4013-1
SUSE-SU-2022:4488-1
SUSE-SU-2022_4010-1
SUSE-SU-2022_4013-1
SUSE-SU-2022_4488-1
USN-5551-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Mod Wsgi