PT-2024-3308 · Traefik+1 · Traefik+1

Prajithp

·

Publicado

2024-03-11

·

Atualizado

2025-11-26

·

CVE-2024-28869

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Traefik anteriores à 2.11.2
Versões do Traefik anteriores à 3.0.0-rc5
Descrição
O problema está relacionado ao tratamento inadequado de estados excepcionais durante o processamento de cabeçalhos Content-Length, resultando em um travamento indefinido com a configuração padrão. Isso pode ser explorado por invasores para induzir uma negação de serviço. O envio de uma solicitação GET para qualquer endpoint do Traefik com o cabeçalho de solicitação Content-length resulta nesse travamento.
Recomendações
Para versões anteriores à 2.11.2, atualize para a versão 2.11.2 ou posterior.
Para versões anteriores à 3.0.0-rc5, atualize para a versão 3.0.0-rc5 ou posterior.
Como solução temporária, considere configurar a opção readTimeout para mitigar a vulnerabilidade.

Exploit

Correção

DoS

Improper Resource Release

Improper Handling of Exceptional Conditions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404CWE-755

Identificadores relacionados

ALSA-2024_4212
ALSA-2024_4237
ALSA-2024_5291
ALSA-2024_9115
ALSA-2025_16880
ALSA-2025_7256
ALT-PU-2024-16593
ALT-PU-2024-16754
ALT-PU-2024-7595
BDU:2024-03542
CVE-2024-28869
ECHO-F160-1DEB-C3B0
GHSA-4VWX-54MW-VQFW
GO-2024-2722
OPENSUSE-SU-2024:13927-1
OPENSUSE-SU-2024:14076-1

Produtos afetados

Alt Linux
Traefik