PT-2024-18914 · Unknown · Caddy-Security
David Pokora
+2
·
Publicado
2024-02-16
·
Atualizado
2024-06-28
·
CVE-2024-21499
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
github.com/greenpau/caddy-security – todas as versões
Descrição
A vulnerabilidade está relacionada à injeção de cabeçalho HTTP por meio do cabeçalho
X-Forwarded-Proto, que pode ser explorada devido ao redirecionamento do software para o protocolo injetado. Isso pode levar à contornagem de mecanismos de segurança ou a erros no tratamento do TLS.Recomendações
Para todas as versões, considere desativar a funcionalidade de redirecionamento baseada no cabeçalho
X-Forwarded-Proto até que uma correção esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o cabeçalho X-Forwarded-Proto em redirecionamentos para prevenir possíveis ataques de injeção de cabeçalho HTTP. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Caddy-Security