PT-2022-7226 · Netty+5 · Netty+5
Rafalambrozewicz
·
Publicado
2022-12-12
·
Atualizado
2024-10-30
·
CVE-2022-41915
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Netty de 4.1.83.Final a 4.1.85.Final
Versões do Netty anteriores à 4.1.86.Final
Descrição
O projeto Netty é uma estrutura de aplicativos de rede assíncrona orientada a eventos. Ao chamar
DefaultHttpHeaders.set com um iterador de valores, a validação do valor do cabeçalho não era realizada, permitindo que valores de cabeçalho maliciosos no iterador executassem HTTP Response Splitting. Essa vulnerabilidade pode ser explorada por um invasor remoto para divulgar e modificar informações protegidas.Recomendações
Para as versões do Netty 4.1.83.Final a 4.1.85. Final, atualize para a versão 4.1.86.Final para resolver o problema.
Para versões anteriores à 4.1.86.Final, os integradores podem contornar o problema alterando a chamada
DefaultHttpHeaders.set(CharSequence, Iterator<?>) para uma chamada remove() e chamando add() em um loop sobre o iterador de valores.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Astra Linux
Linuxmint
Netty
Red Os
Suse
Ubuntu