CVE-2023-38522

CVE-2023-38522

Título es
CVE-2023-38522

Vie, 26/07/2024 – 10:15

Tipo
CWE-20

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2023-38522

Descripción es
Apache Traffic Server acepta caracteres que no están permitidos para los nombres de campos HTTP y reenvía las solicitudes malformadas a los servidores de origen. Esto se puede utilizar para el contrabando de solicitudes y también puede provocar un envenenamiento de la caché si los servidores de origen son vulnerables. Este problema afecta a Apache Traffic Server: desde la versión 8.0.0 hasta la 8.1.10, desde la 9.0.0 hasta la 9.2.4. Se recomienda a los usuarios que actualicen a la versión 8.1.11 o 9.2.5, que soluciona el problema.

Descripción en
Apache Traffic Server accepts characters that are not allowed for HTTP field names and forwards malformed requests to origin servers. This can be utilized for request smuggling and may also lead cache poisoning if the origin servers are vulnerable.

This issue affects Apache Traffic Server: from 8.0.0 through 8.1.10, from 9.0.0 through 9.2.4.

Users are recommended to upgrade to version 8.1.11 or 9.2.5, which fixes the issue.

26/07/2024
26/07/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

  • https://lists.apache.org/thread/c4mcmpblgl8kkmyt56t23543gp8v56m0

    • Enviar en el boletín
    Off

    Jose Alexis Correa Valencia

    Consultor de sistemas informáticos avanzados con más de 25 años de experiencia en el sector privado. Su carrera se ha enfocado en el análisis y diseño de sistemas, la instalación y configuración de hardware y software, así como en la administración de redes para diversas empresas. Además, ha tenido el privilegio de ser capacitador en temáticas avanzadas, especializándose en el manejo de datos en línea, la seguridad de transacciones y los multimedios.

    Ver todas las entradas