PT-2022-5564 · Twisted+7 · Twisted+7
Publicado
2022-04-04
·
Atualizado
2025-09-22
·
CVE-2022-24801
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Twisted anteriores à 22.4.0rc1
Descrição
O servidor HTTP 1.1 do Twisted Web, localizado no módulo
twisted.web.http, analisava várias estruturas de solicitações HTTP de forma mais permissiva do que o permitido pela RFC 7230. Essa análise não conforme pode levar à dessincronização se as solicitações passarem por vários analisadores HTTP, resultando potencialmente em contrabando de solicitações HTTP. Os usuários que podem ser afetados utilizam o servidor HTTP 1.1 e/ou proxy do Twisted Web e também encaminham solicitações por meio de um servidor HTTP e/ou proxy diferente. A vulnerabilidade pode ser explorada por um invasor remoto para acessar dados confidenciais, comprometer sua integridade e causar uma negação de serviço.Recomendações
Para versões anteriores à 22.4.0rc1, atualize para o Twisted 22.4.0rc1 ou posterior para resolver o problema.
Como solução temporária, certifique-se de que todas as vulnerabilidades em proxies upstream tenham sido corrigidas, por exemplo, atualizando-os.
Como alternativa, filtre solicitações malformadas por outros meios, como a configuração de um proxy upstream.
Exploit
Correção
DoS
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Suse
Twisted
Ubuntu