Vulnerabilidad en AsyncHttpClient (AHC) (CVE-2024-53990)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

02/12/2024

Última modificación:

02/12/2024

Descripción

La librería AsyncHttpClient (AHC) permite que las aplicaciones Java ejecuten fácilmente solicitudes HTTP y procesen de forma asincrónica las respuestas HTTP. Al realizar una solicitud HTTP, el CookieStore (también conocido como contenedor de cookies) habilitado automáticamente y autoadministrado reemplazará silenciosamente las Cookies definidas explícitamente por cualquier cookie que tenga el mismo nombre del contenedor de cookies. En el caso de los servicios que funcionan con varios usuarios, esto puede provocar que la Cookie de un usuario se utilice para las solicitudes de otro usuario.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.20 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.20

Gravedad 4.0

CRÍTICA

Vulnerabilidad en AsyncHttpClient (AHC) (CVE-2024-53990)

Descripción

Impacto

Referencias a soluciones, herramientas e información