CVE-2021-32742
Untrusted data fed into `Data.init(base32Encoded:)` can result in exposing server memory and/or crash
Em resumo
Uma falha na função de decodificação base32 do Vapor pode expor memória do servidor ou causar crash da aplicação ao processar dados não confiáveis. Afeta apps que usam essa função específica diretamente ou por dependências.
Detalhe técnico
CWE-502 (Desserialização de Dados Não Confiáveis): A função `Data.init(base32Encoded:)` no Vapor ≤4.47.1 processa incorretamente entrada codificada em base32, permitindo que um atacante forneça dados maliciosos que desencadeiem exposição de memória ou negação de serviço. A exploração requer que a função vulnerável processe entrada controlada pelo atacante.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Vapor is a web framework for Swift. In versions 4.47.1 and prior, bug in the `Data.init(base32Encoded:)` function opens up the potential for exposing server memory and/or crashing the server (Denial of Service) for applications where untrusted data can end up in said function. Vapor does not currently use this function itself so this only impact applications that use the impacted function directly or through other dependencies. The vulnerability is patched in version 4.47.2. As a workaround, one may use an alternative to Vapor's built-in `Data.init(base32Encoded:)`.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
vapor · vaporQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →