CVE-2021-32742
Untrusted data fed into `Data.init(base32Encoded:)` can result in exposing server memory and/or crash
En resumen
Un defecto en la función de decodificación base32 de Vapor puede exponer memoria del servidor o causar un bloqueo de la aplicación al procesar datos no confiables. Afecta a aplicaciones que usan esta función específica directamente o a través de dependencias.
Detalle técnico
CWE-502 (Deserialización de Datos No Confiables): La función `Data.init(base32Encoded:)` en Vapor ≤4.47.1 maneja incorrectamente la entrada codificada en base32, permitiendo que un atacante proporcione datos maliciosos que desencadenen exposición de memoria o denegación de servicio. La explotación requiere que la función vulnerable procese entrada controlada por el atacante.
Resumen generado y traducido por IA a partir de la descripción oficial.
Vapor is a web framework for Swift. In versions 4.47.1 and prior, bug in the `Data.init(base32Encoded:)` function opens up the potential for exposing server memory and/or crashing the server (Denial of Service) for applications where untrusted data can end up in said function. Vapor does not currently use this function itself so this only impact applications that use the impacted function directly or through other dependencies. The vulnerability is patched in version 4.47.2. As a workaround, one may use an alternative to Vapor's built-in `Data.init(base32Encoded:)`.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
vapor · vapor¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →