PT-2025-21129 · Varnish+6 · Varnish Cache+7

Asad Ahmed

Publicado

2025-05-13

Atualizado

2025-12-03

CVE-2025-47905

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N

Nome do Software Vulnerável e Versões Afetadas: Versões do Varnish Cache 7.6.3 e anteriores, 7.7.0 Versões do Varnish Enterprise 6.0.13r13 e anteriores

Descrição: O problema permite dessincronização do lado do cliente via requisições HTTP/1. Isso ocorre porque o produto permite incorretamente que o CRLF seja ignorado para delimitar limites de chunk.

Recomendações: Para as versões do Varnish Cache 7.6.3 e anteriores, atualize para a versão 7.6.3 ou posterior. Para a versão 7.7.0 do Varnish Cache, atualize para a versão 7.7.1 ou posterior. Para as versões do Varnish Enterprise 6.0.13r13 e anteriores, atualize para a versão 6.0.13r14 ou posterior.

Correção

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

ALSA-2025:8336

ALSA-2025:8337

ALSA-2025:8550

BDU:2025-15593

BIT-VARNISH-2025-47905

CESA-2025_8336

CVE-2025-47905

DLA-4187-1

DSA-5918-1

INFSA-2025_8336

INFSA-2025_8337

OESA-2025-1556

RHSA-2025:8294

RHSA-2025:8310

RHSA-2025:8336

RHSA-2025:8337

RHSA-2025:8339

RHSA-2025:8340

RHSA-2025:8349

RHSA-2025:8350

RHSA-2025:8351

RHSA-2025:8550

RHSA-2025_8336

RHSA-2025_8337

Produtos afetados

Almalinux

Centos

Debian

Red Hat

Red Os

Rocky Linux

Varnish Cache

Varnish Enterprise

PT-2025-21129 · Varnish+6 · Varnish Cache+7

CVE-2025-47905

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 45