Vulnerabilidad en Undertow (CVE-2024-3653)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/07/2024
Última modificación:
23/09/2024
Descripción
Se encontró una vulnerabilidad en Undertow. Este problema requiere habilitar el controlador de aprendizaje-push en la configuración del servidor, que está deshabilitado de forma predeterminada, dejando la configuración maxAge en el controlador sin configurar. El valor predeterminado es -1, lo que hace que el controlador sea vulnerable. Si alguien sobrescribe esa configuración, el servidor no está sujeto al ataque. El atacante debe poder llegar al servidor con una solicitud HTTP normal.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:4392
- https://access.redhat.com/errata/RHSA-2024:5143
- https://access.redhat.com/errata/RHSA-2024:5144
- https://access.redhat.com/errata/RHSA-2024:5145
- https://access.redhat.com/errata/RHSA-2024:5147
- https://access.redhat.com/errata/RHSA-2024:6437
- https://access.redhat.com/security/cve/CVE-2024-3653
- https://bugzilla.redhat.com/show_bug.cgi?id=2274437