PT-2024-7296 · Spring+1 · Spring-Web+1
Seokchan Yoon
·
Publicado
2024-08-14
·
Atualizado
2024-09-30
·
CVE-2024-38809
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
org.springframework:spring-web versões 5.3.0 a 5.3.37
org.springframework:spring-web versões 6.0.0 a 6.0.22
org.springframework:spring-web versões 6.1.0 a 6.1.11
Descrição:
Aplicativos que analisam ETags dos cabeçalhos de solicitação
If-Match ou If-None-Match estão vulneráveis a um ataque de negação de serviço (DoS). O problema está relacionado a erros na liberação de recursos.Recomendações:
Para as versões 5.3.x, atualize para a versão 5.3.38.
Para as versões 6.0.x, atualize para a versão 6.0.23.
Para as versões 6.1.x, atualize para a versão 6.1.12.
Para versões mais antigas e sem suporte, imponha um limite de tamanho nos cabeçalhos
If-Match e If-None-Match, por exemplo, por meio de um filtro.Correção
DoS
Improper Resource Release
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Spring-Web