PT-2024-2685 · Unknown+6 · Mod Auth Openidc+6
Zandbelt
·
Publicado
2024-02-07
·
Atualizado
2025-12-29
·
CVE-2024-24814
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do mod auth openidc anteriores à 2.4.15.2
Descrição
O problema está relacionado a um ataque de negação de serviço (DoS) devido à falta de validação de entrada no valor do cookie
mod auth openidc session chunks. Isso permite que um invasor crie solicitações capazes de tornar o servidor indisponível ou causá-lo a travar com o mínimo de esforço. Ao manipular o valor do cookie mod auth openidc session chunks para um número inteiro muito grande, o servidor tem dificuldade em processar a solicitação e, por fim, retorna um erro 500. Fazer algumas solicitações desse tipo pode fazer com que o servidor fique indisponível.Recomendações
Para versões anteriores à 2.4.15.2, atualize para a versão 2.4.15.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao cookie
mod auth openidc session chunks para minimizar o risco de exploração. Evite usar valores inteiros grandes para o cookie mod auth openidc session chunks até que o problema seja resolvido.Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Centos
Red Hat
Red Os
Rocky Linux
Suse
Mod Auth Openidc