HAProxy sérülékenysége
Angol cím: HAProxy vulnerability
Publikálás dátuma: 2023.04.11.
Utolsó módosítás dátuma: 2023.04.11.
Leírás
A HTTP-kérések inkonzisztens értelmezése (‘HTTP-kérelem csempészet’): Ha a hibás vagy rendellenes HTTP-kéréseket egy vagy több entitás értelmezi a felhasználó és a webkiszolgáló közötti adatáramlásban, mint például a proxy vagy a tűzfal, akkor azok csak következetlenül értelmezhetőek. Ez lehetővé téve a támadónak, hogy „becsempésszen” egy kérést az eszközre anélkül, hogy annak egy másik eszköz a tudatában lenne.
Leírás forrása:Elemzés leírás
Eredeti nyelven: HTTP request/response smuggling vulnerability in HAProxy version 2.7.0, and 2.6.1 to 2.6.7 allows a remote attacker to alter a legitimate user’s request. As a result, the attacker may obtain sensitive information or cause a denial-of-service (DoS) condition.
Elemzés leírás forrása: CVE-2023-25950Hatás
CVSS3 Súlyosság és Metrika
Base score: 5.6 (Közepes)
Vector: AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
Impact Score: 3.4
Exploitability Score: 2.2
Attack Vector (AV): Network
Attack Complexity (AC): High
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): Low
Integrity Impact (I): Low
Availability Impact (A): Low
Következmények
Loss of integrity (Sértetlenség elvesztése)Hivatkozások
Sérülékeny szoftverek
HAProxy 2.7.0
HAProxy 2.6.1 - 2.6.7