CVE-2022-22720
HTTP request smuggling vulnerability in Apache HTTP Server 2.4.52 and earlier
Em resumo
O Apache HTTP Server pode não fechar corretamente a conexão quando encontra erros ao processar uma requisição, permitindo que atacantes enviem requisições HTTP ocultas que o servidor processa de forma inesperada. Isso pode levar a ações não autorizadas ou acesso a dados sensíveis.
Detalhe técnico
Vulnerabilidade de HTTP request smuggling onde o Apache HTTP Server 2.4.52 e versões anteriores falham em fechar conexões de entrada ao encontrarem erros ao descartar o corpo da requisição. Um atacante pode explorar o manuseio impróprio da conexão para injetar requisições maliciosas que contornam controles de segurança, afetando a interpretação de requisições entre intermediários e o servidor original.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Apache HTTP Server 2.4.52 and earlier fails to close inbound connection when errors are encountered discarding the request body, exposing the server to HTTP Request Smuggling
Produtos afetados
Apache Software Foundation · Apache HTTP ServerQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://seclists.org/fulldisclosure/2022/May/33http://seclists.org/fulldisclosure/2022/May/35http://seclists.org/fulldisclosure/2022/May/38https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://lists.debian.org/debian-lts-announce/2022/03/msg00033.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/RGWILBORT67SHMSLYSQZG2NMXGCMPUZO/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/X73C35MMMZGBVPQQCH7LQZUMYZNQA5FO/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z7H26WJ6TPKNWV3QKY4BHKUKQVUTZJTD/https://security.gentoo.org/glsa/202208-20https://security.netapp.com/advisory/ntap-20220321-0001/https://support.apple.com/kb/HT213255https://support.apple.com/kb/HT213256