Vulnerabilidad en Waitress (CVE-2022-31015)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
31/05/2022
Última modificación:
14/06/2022
Descripción
Waitress es un servidor de Interfaz de Pasarela del Servidor Web para Python versiones 2 y 3. Las versiones 2.1.0 y 2.1.1 de Waitress pueden terminar antes de tiempo debido a que un hilo cierra un socket mientras el hilo principal está a punto de llamar a select(). Esto conllevaba a que el hilo principal lanzara una excepción que no es manejada y que causaba la muerte de toda la aplicación. Este problema ha sido corregido en Waitress versión 2.1.2, al no permitir que el hilo WSGI cierre el socket. En su lugar, esto es delegado siempre en el hilo principal. No se presenta ninguna mitigación para este problema. Sin embargo, los usuarios usando waitress detrás de un servidor proxy inverso presentan menos probabilidades de tener problemas si el proxy inverso siempre lee la respuesta completa
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:agendaless:waitress:*:*:*:*:*:*:*:* | 2.1.0 (incluyendo) | 2.1.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página