PT-2025-25773 · Apache+1 · Apache Traffic Server+1

Yohann Sillam

·

Publicado

2025-01-01

·

Atualizado

2026-01-09

·

CVE-2025-49763

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Apache Traffic Server versões 9.0.0 a 9.2.10 Apache Traffic Server versões 10.0.0 a 10.0.5
Descrição A falha permite consumo excessivo de memória caso instruções maliciosas sejam inseridas devido à falta de um limite para a profundidade máxima de inclusão no plugin ESI. Isso pode ser explorado, potencialmente levando a problemas significativos. Os usuários podem utilizar uma nova configuração para o plugin (--max-inclusion-depth) para limitar a profundidade de inclusão.
Recomendações Para as versões 9.0.0 a 9.2.10 do Apache Traffic Server, atualize para a versão 9.2.11. Para as versões 10.0.0 a 10.0.5 do Apache Traffic Server, atualize para a versão 10.0.6.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

CVE-2025-49763
DSA-5948-1
OESA-2025-1731
OESA-2025-1732
OESA-2025-1904
OESA-2026-1019

Produtos afetados

Apache Traffic Server
Debian