Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el módulo de autenticación HTTP SPNEGO para nginx (CVE-2021-21335)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
08/03/2021
Última modificación:
12/03/2021

Descripción

En el módulo de autenticación HTTP SPNEGO para nginx (spnego-http-auth-nginx-module) versiones anteriores a 1.1.1, la Autenticación básica puede ser omitido usando un nombre de usuario malformado. Esto afecta a usuarios de spnego-http-auth-nginx-module que han habilitado la autenticación básica. Esto es corregido en versión 1.1.1 de spnego-http-auth-nginx-module. Como una solución alternativa, puede ser deshabilitar la autenticación básica

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:spnego_http_authentication_module_project:spnego_http_authentication_module:*:*:*:*:*:nginx:*:* 1.1.1 (excluyendo)