PT-2024-5231 · Apache · Apache Traffic Server

Ben Kallus

·

Publicado

2024-07-26

·

Atualizado

2025-09-19

·

CVE-2023-38522

CVSS v2.0

7.6

Alta

VetorAV:N/AC:H/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Apache Traffic Server, versões 8.0.0 a 8.1.10
Apache Traffic Server, versões 9.0.0 a 9.2.4
Descrição:
O problema existe devido a uma validação insuficiente de entradas, permitindo que um invasor explore a vulnerabilidade e, potencialmente, realize ataques de contrabando de solicitações HTTP, o que também pode levar ao envenenamento de cache caso os servidores de origem estejam vulneráveis.
Recomendações:
Para as versões 8.0.0 a 8.1.10 do Apache Traffic Server, atualize para a versão 8.1.11.
Para as versões 9.0.0 a 9.2.4 do Apache Traffic Server, atualize para a versão 9.2.5.

Correção

RCE

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-86CWE-20CWE-444

Identificadores relacionados

BDU:2024-05797
CVE-2023-38522
DLA-3897-1
DSA-5758-1
OESA-2024-1955

Produtos afetados

Apache Traffic Server