CVE-2022-31005

Integer Overflow in Vapor's HTTP Range Request

CVSS 7.5 HIGHEPSS 1.9%CWE-190

Em resumo

Versões do Vapor anteriores à 4.60.3 contêm um erro de overflow de inteiro no FileMiddleware que permite que atacantes derrubem a aplicação enviando requisições HTTP de intervalo malformadas. Esta vulnerabilidade afeta qualquer aplicação Vapor que use FileMiddleware para servir arquivos.

Detalhe técnico

Um overflow de inteiro no gerenciador de requisições HTTP de intervalo do FileMiddleware do Vapor (CWE-190) permite que atacantes remotos causem negação de serviço enviando headers de intervalo malformados que provocam overflow aritmético durante o processamento da requisição. A vulnerabilidade requer FileMiddleware habilitado e afeta versões anteriores à 4.60.3; a exploração resulta em queda da aplicação sem necessidade de autenticação.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Vapor is an HTTP web framework for Swift. Users of Vapor prior to version 4.60.3 with FileMiddleware enabled are vulnerable to an integer overflow vulnerability that can crash the application. Version 4.60.3 contains a patch for this issue. As a workaround, disable FileMiddleware and serve via a Content Delivery Network.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Produtos afetados

vapor · vapor

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/vapor/vapor/commit/953a349b539b3e0d3653585c8ffb50c427986df1 https://github.com/vapor/vapor/releases/tag/4.60.3 https://github.com/vapor/vapor/security/advisories/GHSA-vj2m-9f5j-mpr5