Vulnerabilidad en Twisted (CVE-2022-39348)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/10/2022
Última modificación:
25/11/2024
Descripción
Twisted es un framework basado en eventos para aplicaciones de Internet. Comenzó con la versión 0.9.4, cuando el encabezado del host no coincide con un host configurado "twisted.web.vhost.NameVirtualHost" devolverá un recurso "NoResource" que hace que el encabezado del Host no sea escondido en la respuesta 404 permitiendo la inyección de HTML y scripts. En la práctica esto debería ser muy difícil de explotar ya que ser capaz de modificar el encabezado Host de una petición HTTP normal implica que uno ya está en una posición privilegiada. Este problema ha sido corregido en versión 22.10.0rc1. No se presenta mitigaciones conocidas
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:twisted:twisted:*:*:*:*:*:*:*:* | 0.9.4 (incluyendo) | 22.10.0 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/twisted/twisted/commit/f2f5e81c03f14e253e85fe457e646130780db40b
- https://github.com/twisted/twisted/commit/f49041bb67792506d85aeda9cf6157e92f8048f4
- https://github.com/twisted/twisted/security/advisories/GHSA-vg46-2rrj-3647
- https://lists.debian.org/debian-lts-announce/2022/11/msg00038.html
- https://security.gentoo.org/glsa/202301-02
- https://github.com/twisted/twisted/commit/f2f5e81c03f14e253e85fe457e646130780db40b
- https://github.com/twisted/twisted/commit/f49041bb67792506d85aeda9cf6157e92f8048f4
- https://github.com/twisted/twisted/security/advisories/GHSA-vg46-2rrj-3647
- https://lists.debian.org/debian-lts-announce/2022/11/msg00038.html
- https://security.gentoo.org/glsa/202301-02