CVE-2021-21328

Denial of Service

CVSS 5.3 MEDIUMEPSS 1.6%CWE-400

En resumen

Vapor (framework web para Swift) en versiones anteriores a 4.40.1 es vulnerable a ataques de denegación de servicio donde solicitudes a muchas URLs diferentes crean contadores y temporizadores ilimitados, agotando recursos del sistema y afectando la aplicación y servicios conectados.

Detalle técnico

Vulnerabilidad CWE-400 de agotamiento de recursos en el backend de métricas de Vapor: atacantes no autenticados pueden desencadenar creación ilimitada de contadores/temporizadores enviando solicitudes a rutas indefinidas arbitrarias, consumiendo memoria y recursos de procesamiento. Se corrigió reescribiendo rutas indefinidas a un único contador `vapor_route_undefined`. Afecta cualquier instancia Vapor con métricas habilitadas anterior a 4.40.1.

Resumen generado y traducido por IA a partir de la descripción oficial.

Vapor is a web framework for Swift. In Vapor before version 4.40.1, there is a DoS attack against anyone who Bootstraps a metrics backend for their Vapor app. The following is the attack vector: 1. send unlimited requests against a vapor instance with different paths. this will create unlimited counters and timers, which will eventually drain the system. 2. downstream services might suffer from this attack as well by being spammed with error paths. This has been patched in 4.40.1. The `DefaultResponder` will rewrite any undefined route paths for to `vapor_route_undefined` to avoid unlimited counters.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Productos afectados

vapor · vapor

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/vapor/vapor/commit/e3aa712508db2854ac0ab905696c65fd88fa7e23 https://github.com/vapor/vapor/releases/tag/4.40.1 https://github.com/vapor/vapor/security/advisories/GHSA-gcj9-jj38-hwmc https://vapor.codes/