PT-2024-5828 · Twisted+5 · Twisted+5

Kenballus

·

Publicado

2024-07-29

·

Atualizado

2025-09-22

·

CVE-2024-41671

CVSS v3.1

8.3

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do Twisted anteriores à 24.7.0rc1
Descrição
O servidor HTTP 1.0 e 1.1 fornecido pelo twisted.web poderia processar solicitações HTTP em pipeline fora de ordem, o que poderia resultar na divulgação de informações. Esse problema está relacionado ao tratamento incorreto de solicitações HTTP. A exploração desse problema pode permitir que um invasor remoto divulgue informações protegidas. No caso de servidores HTTP twisted.web implantados atrás de proxies reversos que implementam pool de conexões, pode ser possível que invasores remotos recebam respostas destinadas a outros clientes do servidor twisted.web.
Recomendações
Como solução temporária, considere desativar o módulo twisted.web até que um patch esteja disponível.
Para versões anteriores à 24.7.0rc1, atualize para a versão 24.7.0rc1 ou posterior para resolver o problema.

Exploit

Correção

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

AZL-47101
AZL-47151
BDU:2024-06573
CVE-2024-41671
DLA-3970-1
DSA-5797-1
GHSA-C8M8-J448-XJX7
MGASA-2025-0054
OESA-2024-1983
OESA-2024-1984
OESA-2024-1985
OESA-2024-1986
OESA-2024-2052
OPENSUSE-SU-2024:14228-1
OPENSUSE-SU-2024:14236-1
SUSE-SU-2024:2732-1
SUSE-SU-2024:2757-1
SUSE-SU-2024:2860-1
SUSE-SU-2024:2880-1
SUSE-SU-2024_2732-1
SUSE-SU-2024_2757-1
SUSE-SU-2024_2860-1
SUSE-SU-2024_2880-1
USN-6988-1
USN-6988-2

Produtos afetados

Astra Linux
Linuxmint
Red Os
Suse
Twisted
Ubuntu