PT-2024-22368 · Corewcf · Corewcf
Mirek-Kopacka
·
Publicado
2024-03-15
·
Atualizado
2024-03-21
·
CVE-2024-28252
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do CoreWCF anteriores à 1.4.2
Versões do CoreWCF anteriores à 1.5.2
Descrição
O problema afeta serviços CoreWCF baseados em NetFraming, nos quais recursos extras do sistema podem ser consumidos por conexões que permanecem estabelecidas em vez de serem fechadas ou abortadas. Isso pode ocorrer em dois cenários: quando um cliente estabelece uma conexão com o serviço e não envia dados, o serviço aguarda indefinidamente até que o cliente inicie o handshake da sessão NetFraming; e quando um cliente estabeleceu uma sessão, mas não envia nenhuma solicitação durante o período de tempo configurado no ReceiveTimeout da ligação, a conexão não é fechada corretamente como parte do abortamento da sessão. As ligações afetadas por esse comportamento são NetTcpBinding, NetNamedPipeBinding e UnixDomainSocketBinding. Apenas NetTcpBinding tem a capacidade de aceitar conexões não locais.
Recomendações
Para versões do CoreWCF anteriores à 1.4.2, atualize para a versão 1.4.2 ou posterior.
Para versões do CoreWCF anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior.
Como solução alternativa temporária, considere restringir o acesso às ligações vulneráveis, especificamente NetTcpBinding, NetNamedPipeBinding e UnixDomainSocketBinding, para minimizar o risco de exploração.
Observe que não há soluções alternativas para este problema, e os usuários são aconselhados a atualizar para as versões corrigidas.
Exploit
Correção
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Corewcf