PT-2024-3974 · Nginx+1 · Nginx Plus+3

Nils Bars

·

Publicado

2024-05-29

·

Atualizado

2026-04-01

·

CVE-2024-35200

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
NGINX Plus (versões afetadas não especificadas)
NGINX OSS (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma desreferência de ponteiro nulo no módulo HTTP/3 QUIC (ngx http v3 module) do NGINX Plus e do NGINX OSS. Isso pode ser explorado por um invasor remoto usando solicitações HTTP/3 especialmente criadas, podendo levar a uma negação de serviço. Quando o NGINX Plus ou o NGINX OSS estão configurados para usar o módulo HTTP/3 QUIC, solicitações HTTP/3 não divulgadas podem fazer com que os processos de trabalho do NGINX sejam encerrados.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

BDU:2024-04389
BIT-NGINX-2024-35200
BIT-NGINX-GATEWAY-2024-35200
CLEANSTART-2026-BA37192
CLEANSTART-2026-MQ02912
CLEANSTART-2026-XB16901
CLEANSTART-2026-ZN32454
CLEANSTART-2026-ZT77083
CVE-2024-35200

Produtos afetados

Nginx Oss
Nginx Plus
Nginx
Red Os