CVE-2023-44386
Incorrect request error handling triggers server crash in Vapor
Em resumo
Vapor, um framework web para Swift, quebra quando recebe requisições HTTP malformadas porque fecha conexões em vez de tratar os erros corretamente. Atacantes podem derrubar o serviço enviando requisições inválidas.
Detalhe técnico
Uma vulnerabilidade de negação de serviço no manipulador de erros HTTP/1 do Vapor permite que atacantes remotos sem autenticação derrubem o servidor enviando requisições HTTP malformadas. O framework fecha conexões em erros de análise HTTP em vez de tratá-los adequadamente, sem exigir privilégios ou interação do usuário. Corrigido no Vapor 4.84.2.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Vapor is an HTTP web framework for Swift. There is a denial of service vulnerability impacting all users of affected versions of Vapor. The HTTP1 error handler closed connections when HTTP parse errors occur instead of passing them on. The issue is fixed as of Vapor release 4.84.2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Produtos afetados
vapor · vaporQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →