Vulnerabilidad en los encabezados de una respuesta HTTP en Armeria (CVE-2019-16771)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-113
Neutralización incorrecta de secuencias CRLF en cabeceras HTTP (División de respuesta HTTP)
Fecha de publicación:
06/12/2019
Última modificación:
17/06/2026
Descripción
Las versiones 0.85.0 hasta la 0.96.0 incluyéndola de Armeria, son vulnerables a una división de la respuesta HTTP, lo que permite a atacantes remotos inyectar encabezados HTTP arbitrarios por medio de secuencias CRLF cuando datos no saneados son usados para llenar los encabezados de una respuesta HTTP. Esta vulnerabilidad ha sido parcheada en la versión 0.97.0. Impactos potenciales de esta vulnerabilidad incluyen la desfiguración de usuarios cruzados, el envenenamiento de la caché, un ataque de tipo Cross-site scripting (XSS) y el secuestro de páginas.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linecorp:armeria:*:*:*:*:*:*:*:* | 0.85.0 (incluyendo) | 0.97.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/line/armeria/commit/b597f7a865a527a84ee3d6937075cfbb4470ed20
- https://github.com/line/armeria/security/advisories/GHSA-35fr-h7jr-hh86
- https://github.com/line/armeria/commit/b597f7a865a527a84ee3d6937075cfbb4470ed20
- https://github.com/line/armeria/security/advisories/GHSA-35fr-h7jr-hh86



