CVE-2022-31005

Integer Overflow in Vapor's HTTP Range Request

CVSS 7.5 HIGHEPSS 1.9%CWE-190

En resumen

Versiones de Vapor anteriores a la 4.60.3 contienen un error de desbordamiento de enteros en FileMiddleware que permite a atacantes derribar la aplicación enviando solicitudes HTTP de rango especialmente creadas. Esta vulnerabilidad afecta cualquier aplicación Vapor que use FileMiddleware para servir archivos.

Detalle técnico

Un desbordamiento de enteros en el manejador de solicitudes HTTP de rango del FileMiddleware de Vapor (CWE-190) permite a atacantes remotos provocar una denegación de servicio enviando encabezados de rango malformados que causan desbordamiento aritmético durante el procesamiento de la solicitud. La vulnerabilidad requiere que FileMiddleware esté habilitado y afecta versiones anteriores a la 4.60.3; la explotación resulta en caída de la aplicación sin requerir autenticación.

Resumen generado y traducido por IA a partir de la descripción oficial.

Vapor is an HTTP web framework for Swift. Users of Vapor prior to version 4.60.3 with FileMiddleware enabled are vulnerable to an integer overflow vulnerability that can crash the application. Version 4.60.3 contains a patch for this issue. As a workaround, disable FileMiddleware and serve via a Content Delivery Network.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

vapor · vapor

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/vapor/vapor/commit/953a349b539b3e0d3653585c8ffb50c427986df1 https://github.com/vapor/vapor/releases/tag/4.60.3 https://github.com/vapor/vapor/security/advisories/GHSA-vj2m-9f5j-mpr5