Vulnerabilidad en  Snyk (CVE-2024-21493)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/02/2024
Última modificación:
26/02/2025
Descripción
Todas las versiones del paquete github.com/greenpau/caddy-security son vulnerables a una validación incorrecta del índice de matriz al analizar un Caddyfile. Varias funciones de análisis en la librería afectada no validan si sus valores de entrada son nulos antes de intentar acceder a los elementos, lo que puede provocar pánico (índice fuera de rango). Los pánicos durante el análisis de un archivo de configuración pueden introducir ambigüedad y vulnerabilidades, dificultando la correcta interpretación y configuración del servidor web.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:greenpau:caddy-security:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/
- https://github.com/greenpau/caddy-security/issues/263
- https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-5961078
- https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/
- https://github.com/greenpau/caddy-security/issues/263
- https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-5961078