Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Traffic Control Traffic Ops (CVE-2021-42009)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
12/10/2021
Última modificación:
07/11/2023

Descripción

Un usuario autenticado de Apache Traffic Control Traffic Ops con privilegios de nivel de portal puede enviar una petición con un asunto de correo electrónico especialmente diseñado al endpoint /deliveryservices/request Traffic Ops para enviar un correo electrónico, desde el servidor Traffic Ops, con un cuerpo arbitrario a una dirección de correo electrónico arbitraria. Los usuarios de Apache Traffic Control versiones 5.1.x deben actualizar a la versión 5.1.3 o 6.0.0. Los usuarios de la versión 4.1.x deben actualizar a la versión 5.1.3

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:traffic_control:*:*:*:*:*:*:*:* 4.1.0 (incluyendo) 5.1.3 (excluyendo)