Vulnerabilidad en Apache Traffic Control Traffic Ops (CVE-2021-42009)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
12/10/2021
Última modificación:
07/11/2023
Descripción
Un usuario autenticado de Apache Traffic Control Traffic Ops con privilegios de nivel de portal puede enviar una petición con un asunto de correo electrónico especialmente diseñado al endpoint /deliveryservices/request Traffic Ops para enviar un correo electrónico, desde el servidor Traffic Ops, con un cuerpo arbitrario a una dirección de correo electrónico arbitraria. Los usuarios de Apache Traffic Control versiones 5.1.x deben actualizar a la versión 5.1.3 o 6.0.0. Los usuarios de la versión 4.1.x deben actualizar a la versión 5.1.3
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:traffic_control:*:*:*:*:*:*:*:* | 4.1.0 (incluyendo) | 5.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2021/10/12/1
- https://lists.apache.org/thread.html/r78d471d8a4fd268a4c5ae6c47327c09d9d4b4467c31da2c97422febb%40%3Cdev.trafficcontrol.apache.org%3E
- https://lists.apache.org/thread.html/r7dfa9a89b39d06caeeeb7b5cdc41b3493a9b86cc6cfa059d3f349d87%40%3Cannounce.apache.org%3E
- https://lists.apache.org/thread.html/re384fd0f44c6d230f31376153c6e8b59e4a669f927c1533d06d702af%40%3Cdev.trafficcontrol.apache.org%3E
- https://lists.apache.org/thread.html/rf0481b9e38ece1ece458d3ce7b2d671df819e3555597f31fc34f084e%40%3Ccommits.trafficcontrol.apache.org%3E