Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el encabezado "X-Reason" en plugin de administración web en HTTP Pivotal RabbitMQ y RabbitMQ para Pivotal Platform (CVE-2019-11287)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
23/11/2019
Última modificación:
02/04/2025

Descripción

Pivotal RabbitMQ, versiones 3.7.x anteriores a 3.7.21 y versiones 3.8.x anteriores a 3.8.1, y RabbitMQ para Pivotal Platform, versiones 1.16.x anteriores a 1.16.7 y versiones 1.17.x versiones anteriores a 1.17.4, contienen un plugin de administración web que es vulnerable a un ataque de denegación de servicio. El encabezado "X-Reason" de HTTP puede ser aprovechado para insertar una cadena de formato Erlang maliciosa que expandirá y consumirá la pila, resultando en el bloqueo del servidor.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:broadcom:rabbitmq_server:*:*:*:*:*:*:*:* 3.8.0 (incluyendo) 3.8.1 (excluyendo)
cpe:2.3:a:pivotal_software:rabbitmq:*:*:*:*:*:pivotal_cloud_foundry:*:* 1.16.0 (incluyendo) 1.16.7 (excluyendo)
cpe:2.3:a:pivotal_software:rabbitmq:*:*:*:*:*:pivotal_cloud_foundry:*:* 1.17.0 (incluyendo) 1.17.4 (excluyendo)
cpe:2.3:a:pivotal_software:rabbitmq:*:*:*:*:*:*:*:* 3.7.0 (incluyendo) 3.7.21 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openstack:15:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*