Vulnerabilidad en el servicio HTTP JSON-RPC API en Hyperledger Besu (CVE-2021-21369)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
09/03/2021
Última modificación:
16/03/2021
Descripción
Hyperledger Besu es un cliente Ethereum de código abierto, compatible con MainNet, escrito en Java. En Besu versiones anteriores a 1.5.1 se presenta una vulnerabilidad de denegación de servicio que involucra al servicio HTTP JSON-RPC API . Si la autenticación de nombre de usuario y contraseña está habilitada para el servicio de HTTP JSON-RPC API , antes de realizar cualquier petición a un endpoint de la API, el solicitante debe usar el endpoint de inicio de sesión para obtener un token web JSON (JWT) con sus credenciales. Un solo usuario puede sobrecargar fácilmente el endpoint de inicio de sesión con peticiones no válidas (contraseña incorrecta). Como se comprueba la validez de la contraseña proporcionada en el bucle de eventos principal de vertx y lleva un tiempo relativamente largo, esto puede causar que el procesamiento de otras peticiones válidas presenten un fallo. Es requerido un nombre de usuario válido para que se exponga esta vulnerabilidad. Esto ha sido corregido en la versión 1.5.1
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:besu:*:*:*:*:*:*:*:* | 1.5.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página