CVE-2023-44386
Incorrect request error handling triggers server crash in Vapor
En resumen
Vapor, un framework web para Swift, se bloquea cuando recibe solicitudes HTTP malformadas porque cierra conexiones en lugar de manejar los errores correctamente. Los atacantes pueden derribar el servicio enviando solicitudes inválidas.
Detalle técnico
Una vulnerabilidad de denegación de servicio en el controlador de errores HTTP/1 de Vapor permite que atacantes remotos sin autenticación derriben el servidor enviando solicitudes HTTP malformadas. El framework cierra conexiones en errores de análisis HTTP en lugar de manejarlos correctamente, sin requerir privilegios ni interacción del usuario. Se corrigió en Vapor 4.84.2.
Resumen generado y traducido por IA a partir de la descripción oficial.
Vapor is an HTTP web framework for Swift. There is a denial of service vulnerability impacting all users of affected versions of Vapor. The HTTP1 error handler closed connections when HTTP parse errors occur instead of passing them on. The issue is fixed as of Vapor release 4.84.2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Productos afectados
vapor · vapor¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →