PT-2022-6734 · Ruby+10 · Cgi+10
Hiroshi Tokumaru
·
Publicado
2022-09-20
·
Atualizado
2025-09-29
·
CVE-2021-33621
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do gem cgi de 0.1.0.0 a 0.1.0.1
Versões do gem cgi de 0.2.0 a 0.2.1
Versões do gem cgi de 0.3.0 a 0.3.4
Descrição
O problema está relacionado à divisão de respostas HTTP, que ocorre quando entradas de usuários não confiáveis são inseridas em um cabeçalho de resposta HTTP. Isso permite que um invasor injete conteúdo malicioso, podendo levar ao acesso a dados confidenciais, à violação da integridade dos dados e à negação de serviço. A vulnerabilidade afeta aplicativos que utilizam o gem cgi para gerar respostas HTTP ou criar objetos CGI::Cookie com base em entradas do usuário.
Recomendações
Para as versões 0.1.0.0 a 0.1.0.1 da gem cgi, atualize para a versão 0.1.0.2 ou posterior.
Para as versões 0.2.0 a 0.2.1 da gem cgi, atualize para a versão 0.2.2 ou posterior.
Para as versões 0.3.0 a 0.3.4 da gem cgi, atualize para a versão 0.3.5 ou posterior.
Como solução temporária, considere validar e sanitizar as entradas do usuário antes de inseri-las nos cabeçalhos de resposta HTTP ou nos objetos CGI::Cookie para minimizar o risco de exploração.
Exploit
Correção
DoS
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Cgi