Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función http_request_split_value en request.c en lighttpd (CVE-2012-5533)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-399 Error en la gestión de recursos
Fecha de publicación:
24/11/2012
Última modificación:
11/04/2025

Descripción

La función http_request_split_value en request.c en lighttpd en versiones anteriores a 1.4.32 permite a atacantes remotos provocar una denegación de servicio (bucle infinito) a través de una petición con una cabecera que contiene un token vacío, tal como se demuestra utilizando la cabecera "Connection: TE,,Keep-Alive".

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lighttpd:lighttpd:1.4.31:*:*:*:*:*:*:*
cpe:2.3:a:lighttpd:lighttpd:1.4.32:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información