CVE-2024-7885

Nome do software vulnerável e versões afetadas:

Undertow (versões afetadas não especificadas)

Descrição:

Foi identificada uma vulnerabilidade no Undertow em que o ProxyProtocolReadListener reutiliza a mesma instância de StringBuilder em várias solicitações. Esse problema ocorre quando o método parseProxyProtocolV1 processa várias solicitações na mesma conexão HTTP. Como resultado, diferentes solicitações podem compartilhar a mesma instância StringBuilder, levando potencialmente ao vazamento de informações entre solicitações ou respostas. Em alguns casos, um valor de uma solicitação ou resposta anterior pode ser reutilizado erroneamente, o que poderia levar à exposição indesejada de dados. Esse problema resulta principalmente em erros e no encerramento da conexão, mas cria um risco de vazamento de dados em ambientes com múltiplas solicitações.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.