PT-2022-4889 · Twisted+5 · Twisted+5

Alex

+2

·

Publicado

2022-01-23

·

Atualizado

2025-09-22

·

CVE-2022-21712

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Twisted (versões afetadas não especificadas)
Descrição
O problema está relacionado à exposição de cookies e cabeçalhos de autorização ao seguir redirecionamentos entre origens. Esse problema está presente nas funções twisted.web.RedirectAgent e twisted.web.BrowserLikeRedirectAgent. A vulnerabilidade permite que um invasor remoto acesse dados confidenciais.
Recomendações
Como solução temporária, considere desativar as funções twisted.web.RedirectAgent e twisted.web.BrowserLikeRedirectAgent até que uma correção esteja disponível.
Recomenda-se aos usuários que atualizem para uma versão mais recente para resolver o problema.
No momento, não há informações sobre uma versão mais recente específica que contenha uma correção para esta vulnerabilidade.

Exploit

Correção

Origin Validation Error

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-346CWE-200

Identificadores relacionados

AZL-8505
BDU:2022-06046
CVE-2022-21712
DLA-2927-1
GHSA-92X2-JW7W-XVVX
MGASA-2022-0168
OESA-2023-1908
OESA-2023-1909
OESA-2023-1970
OPENSUSE-SU-2022:0499-1
OPENSUSE-SU-2022_0499-1
OPENSUSE-SU-2024:11841-1
PYSEC-2022-27
RHSA-2022:0982
RHSA-2022:0992
SUSE-SU-2022:0499-1
SUSE-SU-2022:0734-1
SUSE-SU-2022:4074-1
SUSE-SU-2022_0499-1
SUSE-SU-2022_0734-1
USN-5354-1

Produtos afetados

Astra Linux
Linuxmint
Red Os
Suse
Twisted
Ubuntu