Vulnerabilidad en Varnish Cache (CVE-2022-45060)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/11/2022
Última modificación:
01/05/2025
Descripción
Se descubrió un problema de HTTP Request Forgery en Varnish Cache 5.x y 6.x anteriores a 6.0.11, 7.x anteriores a 7.1.2 y 7.2.x anteriores a 7.2.1. Un atacante puede introducir caracteres a través de pseudoencabezados HTTP/2 que no son válidos en el contexto de una línea de solicitud HTTP/1, lo que hace que el servidor Varnish produzca solicitudes HTTP/1 no válidas al backend. Esto, a su vez, podría usarse para explotar vulnerabilidades en un servidor detrás del servidor Varnish. Nota: la serie 6.0.x LTS (anterior a 6.0.11) se ve afectada.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:varnish-software:varnish_cache:*:*:*:*:lts:*:*:* | 6.0.0 (incluyendo) | 6.0.11 (excluyendo) |
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.0:r0:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.0:r1:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.0:r2:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.1:r1:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.1:r2:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.1:r3:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.1:r4:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.1:r5:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.2:r1:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.3:r1:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.3:r2:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.3:r3:*:*:*:*:*:* | ||
| cpe:2.3:a:varnish-software:varnish_cache_plus:6.0.3:r4:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.varnish-software.com/security/VSV00011
- https://lists.debian.org/debian-lts-announce/2022/11/msg00036.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/G6ZMOZVBLZXHEV5VRW4I4SOWLQEK5OF5/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/M4KVVCIQVINQQ2D7ORNARSYALMJUMP3I/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XGF6LFTHXCSYMYUX5HLMVXQH3WHCSFLU/
- https://varnish-cache.org/security/VSV00011.html
- https://www.debian.org/security/2023/dsa-5334
- https://docs.varnish-software.com/security/VSV00011
- https://lists.debian.org/debian-lts-announce/2022/11/msg00036.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/G6ZMOZVBLZXHEV5VRW4I4SOWLQEK5OF5/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/M4KVVCIQVINQQ2D7ORNARSYALMJUMP3I/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XGF6LFTHXCSYMYUX5HLMVXQH3WHCSFLU/
- https://varnish-cache.org/security/VSV00011.html
- https://www.debian.org/security/2023/dsa-5334