CVE-2024-1635

Undertow (versões afetadas não especificadas)

Foi encontrada uma vulnerabilidade no Undertow que afeta servidores que suportam o protocolo wildfly-http-client. Quando um usuário mal-intencionado abre e fecha uma conexão com a porta HTTP do servidor e, em seguida, fecha a conexão imediatamente, o servidor acabará esgotando os limites de memória e de arquivos abertos em algum momento, dependendo da quantidade de memória disponível. Na atualização de HTTP para remoting, o WriteTimeoutStreamSinkConduit vaza conexões se o RemotingConnection for fechado pelo Remoting ServerConnectionOpenListener. Isso ocorre porque a conexão de remoting se origina no Undertow como parte da atualização de HTTP e não tem conhecimento da camada mais externa ao fechar a conexão durante o procedimento de abertura da conexão, resultando no WriteTimeoutStreamSinkConduit não ser notificado sobre o fechamento da conexão. O WriteTimeoutStreamSinkConduit cria uma tarefa de tempo limite que é adicionada ao XNIO WorkerThread, fazendo com que toda a árvore de dependências vaze por meio dessa tarefa.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.