Vulnerabilidad en gRPC de Google (CVE-2023-4785)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/09/2023
Última modificación:
12/01/2026
Descripción
La falta de manejo de errores en el servidor TCP en gRPC de Google a partir de la versión 1.23 en plataformas compatibles con posix (por ejemplo, Linux) permite a un atacante provocar una denegación de servicio al iniciar una cantidad significativa de conexiones con el servidor. Tenga en cuenta que gRPC C++ Python y Ruby se ven afectados, pero gRPC Java y Go NO se ven afectados.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:grpc:grpc:*:*:*:*:*:-:*:* | 1.23.0 (incluyendo) | 1.53.2 (excluyendo) |
| cpe:2.3:a:grpc:grpc:*:*:*:*:*:-:*:* | 1.54.0 (incluyendo) | 1.54.3 (excluyendo) |
| cpe:2.3:a:grpc:grpc:*:*:*:*:*:-:*:* | 1.55.0 (incluyendo) | 1.55.3 (excluyendo) |
| cpe:2.3:a:grpc:grpc:1.56.0:*:*:*:*:-:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/grpc/grpc/pull/33656
- https://github.com/grpc/grpc/pull/33667
- https://github.com/grpc/grpc/pull/33669
- https://github.com/grpc/grpc/pull/33670
- https://github.com/grpc/grpc/pull/33672
- https://github.com/grpc/grpc/pull/33656
- https://github.com/grpc/grpc/pull/33667
- https://github.com/grpc/grpc/pull/33669
- https://github.com/grpc/grpc/pull/33670
- https://github.com/grpc/grpc/pull/33672