CVE-2025-32907
Libsoup: denial of service in server when client requests a large amount of overlapping ranges with range header
En resumen
Una falla en el manejo de solicitudes de rango HTTP en libsoup permite que un cliente malicioso envíe múltiples solicitudes de rango superpuestas en una única petición HTTP, causando que el servidor consuma excesiva memoria y su rendimiento se degrade.
Detalle técnico
La vulnerabilidad existe en el analizador de solicitudes de rango de libsoup, que no limita adecuadamente el número o superposición de rangos procesados en un único encabezado HTTP Range. Un atacante remoto no autenticado puede enviar una solicitud HTTP maliciosa con muchas especificaciones de rango de bytes superpuestas para agotar la memoria del servidor, resultando en degradación de la disponibilidad del servicio.
Resumen generado y traducido por IA a partir de la descripción oficial.
A flaw was found in libsoup. The implementation of HTTP range requests is vulnerable to a resource consumption attack. This flaw allows a malicious client to request the same range many times in a single HTTP request, causing the server to use large amounts of memory. This does not allow for a full denial of service.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Productos afectados
libsoupRed Hat · Red Hat Enterprise Linux 10Red Hat · Red Hat Enterprise Linux 6Red Hat · Red Hat Enterprise Linux 7Red Hat · Red Hat Enterprise Linux 8Red Hat · Red Hat Enterprise Linux 9Red Hat · Red Hat Enterprise Linux 9.0 Update Services for SAP SolutionsRed Hat · Red Hat Enterprise Linux 9.2 Extended Update SupportRed Hat · Red Hat Enterprise Linux 9.4 Extended Update Support¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://access.redhat.com/errata/RHSA-2025:4439https://access.redhat.com/errata/RHSA-2025:4440https://access.redhat.com/errata/RHSA-2025:4508https://access.redhat.com/errata/RHSA-2025:7436https://access.redhat.com/errata/RHSA-2025:8128https://access.redhat.com/errata/RHSA-2025:8292https://access.redhat.com/security/cve/CVE-2025-32907https://bugzilla.redhat.com/show_bug.cgi?id=2359342