Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los encabezados HTTP en Akka HTTP (CVE-2021-42697)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/11/2021
Última modificación:
13/06/2022

Descripción

Akka HTTP 10.1.x antes de 10.1.15 y 10.2.x antes de 10.2.7 pueden encontrar agotamiento de la pila mientras analizan las cabeceras HTTP, lo que permite a un atacante remoto llevar a cabo un ataque de denegación de servicio mediante el envío de una cabecera User-Agent con comentarios profundamente anidados

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:akka:http_server:*:*:*:*:*:*:*:* 10.1.0 (incluyendo) 10.1.15 (excluyendo)
cpe:2.3:a:akka:http_server:*:*:*:*:*:*:*:* 10.2.0 (incluyendo) 10.2.7 (excluyendo)