PT-2024-10401 · Tornado+9 · Tornado+9

Kexinoh

·

Publicado

2024-11-22

·

Atualizado

2026-06-03

·

CVE-2024-52804

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Tornado anteriores à 6.4.2
Descrição
O algoritmo utilizado para analisar cookies HTTP no Tornado apresenta, em alguns casos, complexidade quadrática, levando a um consumo excessivo de CPU ao analisar cabeçalhos de cookies criados com intenção maliciosa. Essa análise ocorre na thread do loop de eventos e pode bloquear o processamento de outras solicitações, permitindo potencialmente que um invasor remoto provoque uma negação de serviço.
Recomendações
Para versões anteriores à 6.4.2, atualize para a versão 6.4.2 para corrigir o problema. Como solução alternativa temporária, considere restringir o tamanho dos cabeçalhos de cookies HTTP para minimizar o risco de exploração.

Exploit

Correção

DoS

Resource Exhaustion

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-770

Identificadores relacionados

ALSA-2024:10590
ALSA-2024_10590
ALSA-2025:2872
AZL-53522
AZL-53624
BDU:2025-00918
CESA-2025_2872
CVE-2024-52804
DLA-4007-1
GHSA-7PWV-G7HJ-39PR
GHSA-8W49-H785-MJ3C
INFSA-2024_10590
INFSA-2025_2471
INFSA-2025_2872
MGASA-2025-0060
OESA-2024-2509
OPENSUSE-SU-2024:14528-1
OPENSUSE-SU-2024_4137-1
RHSA-2024:10590
RHSA-2024:10836
RHSA-2024:10843
RHSA-2024_10590
RHSA-2025:2470
RHSA-2025:2471
RHSA-2025:2550
RHSA-2025:2872
RHSA-2025:2955
RHSA-2025:2956
RHSA-2025:3108
RHSA-2025:3109
RHSA-2025_2471
RHSA-2025_2872
RLSA-2024:10590
SUSE-SU-2024:4137-1
SUSE-SU-2025:20096-1
SUSE-SU-2025:20445-1
USN-7150-1

Produtos afetados

Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Tornado
Ubuntu