HAProxy sérülékenysége
Angol cím: HAProxy vulnerability
Publikálás dátuma: 2023.04.11.
Utolsó módosítás dátuma: 2023.04.11.
Leírás
A HTTP-kérések inkonzisztens értelmezése (‘HTTP-kérelem csempészet’): Ha a hibás vagy rendellenes HTTP-kéréseket egy vagy több entitás értelmezi a felhasználó és a webkiszolgáló közötti adatáramlásban, mint például a proxy vagy a tűzfal, akkor azok csak következetlenül értelmezhetőek. Ez lehetővé téve a támadónak, hogy „becsempésszen” egy kérést az eszközre anélkül, hogy annak egy másik eszköz a tudatában lenne.
Leírás forrása:Elemzés leírás
Eredeti nyelven: HTTP request/response smuggling vulnerability in HAProxy version 2.7.0, and 2.6.1 to 2.6.7 allows a remote attacker to alter a legitimate user’s request. As a result, the attacker may obtain sensitive information or cause a denial-of-service (DoS) condition.
Elemzés leírás forrása: CVE-2023-25950Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 5.6 (Közepes)
Vektor: AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
Hatás pontszáma: 3.4
Kihasználhatóság pontszáma: 2.2
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Magas
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Alacsony
Sértetlenség Hatása (I): Alacsony
Rendelkezésre állás Hatása (A): Alacsony
Következmények
Loss of integrity (Sértetlenség elvesztése)Hivatkozások
Sérülékeny szoftverek
HAProxy 2.7.0
HAProxy 2.6.1 - 2.6.7
