Vulnerabilidad en HTTP::Body::Multipart de HTTP-Body (CVE-2013-4407)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/11/2013
Última modificación:
11/04/2025
Descripción
HTTP::Body::Multipart en HTTP-Body 1.08, 1.17, y módulos anteriores para Perl, utiliza la parte posterior al primer "." del nombre de fichero subido como el sufijo de un ficheor temporal, lo cual facilita a atacantes remotos ejecutar ataques aprovechando comportamientos que asuman que el sufijo está bien formado.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:http-body_project:http-body:*:*:*:*:*:*:*:* | 1.17 (incluyendo) | |
| cpe:2.3:a:http-body_project:http-body:0.01:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:0.03:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:0.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:0.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:1.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:1.01:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:1.02:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:1.03:*:*:*:*:*:*:* | ||
| cpe:2.3:a:http-body_project:http-body:1.04:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=721634
- http://git.shadowcat.co.uk/gitweb/gitweb.cgi?p=catagits/HTTP-Body.git%3Ba%3Dcommit%3Bh%3D13ac5b23c083bc56e32dd706ca02fca292bd2161
- http://git.shadowcat.co.uk/gitweb/gitweb.cgi?p=catagits/HTTP-Body.git%3Ba%3Dcommit%3Bh%3Dcc75c886256f187cda388641931e8dafad6c2346
- http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00018.html
- http://www.debian.org/security/2013/dsa-2801
- http://www.openwall.com/lists/oss-security/2024/04/07/1
- https://metacpan.org/release/GETTY/HTTP-Body-1.23/
- https://www.openwall.com/lists/oss-security/2024/04/07/1
- http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=721634
- http://git.shadowcat.co.uk/gitweb/gitweb.cgi?p=catagits/HTTP-Body.git%3Ba%3Dcommit%3Bh%3D13ac5b23c083bc56e32dd706ca02fca292bd2161
- http://git.shadowcat.co.uk/gitweb/gitweb.cgi?p=catagits/HTTP-Body.git%3Ba%3Dcommit%3Bh%3Dcc75c886256f187cda388641931e8dafad6c2346
- http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00018.html
- http://www.debian.org/security/2013/dsa-2801
- http://www.openwall.com/lists/oss-security/2024/04/07/1
- https://metacpan.org/release/GETTY/HTTP-Body-1.23/
- https://www.openwall.com/lists/oss-security/2024/04/07/1