Vulnerabilidad en el módulo de autenticación HTTP SPNEGO para nginx (CVE-2021-21335)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
08/03/2021
Última modificación:
12/03/2021
Descripción
En el módulo de autenticación HTTP SPNEGO para nginx (spnego-http-auth-nginx-module) versiones anteriores a 1.1.1, la Autenticación básica puede ser omitido usando un nombre de usuario malformado. Esto afecta a usuarios de spnego-http-auth-nginx-module que han habilitado la autenticación básica. Esto es corregido en versión 1.1.1 de spnego-http-auth-nginx-module. Como una solución alternativa, puede ser deshabilitar la autenticación básica
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:spnego_http_authentication_module_project:spnego_http_authentication_module:*:*:*:*:*:nginx:*:* | 1.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página