PT-2024-2832 · Libuv+10 · Libuv+10
Arash16
·
Publicado
2024-02-07
·
Atualizado
2025-08-12
·
CVE-2024-24806
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões da libuv anteriores à 1.48.0
Descrição
O problema surge devido ao tratamento da variável
hostname ascii na função uv getaddrinfo, que trunca os nomes de host para 256 caracteres antes de chamar getaddrinfo. Esse comportamento pode ser explorado para criar endereços considerados válidos pela getaddrinfo, permitindo que um invasor crie cargas que resolvam para endereços IP indesejados e contornem as verificações do desenvolvedor. A vulnerabilidade pode permitir que invasores acessem APIs internas ou exponham serviços internos a ataques de Server-Side Request Forgery (SSRF).Recomendações
Para versões anteriores à 1.48.0, atualize para a versão 1.48.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função
uv getaddrinfo até que um patch esteja disponível. Evite usar nomes de host que excedam 256 caracteres nos pontos de extremidade da API afetados até que o problema seja resolvido.Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libuv