Vulnerabilidad en Octopus Server (CVE-2025-0588)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-113
Neutralización incorrecta de secuencias CRLF en cabeceras HTTP (División de respuesta HTTP)
Fecha de publicación:
11/02/2025
Última modificación:
02/07/2025
Descripción
En las versiones afectadas de Octopus Server, un usuario con acceso suficiente podía configurar encabezados personalizados en todas las respuestas del servidor. Al enviar un encabezado de referencia especialmente diseñado, el usuario podía asegurarse de que todas las respuestas posteriores del servidor devolvieran errores 500, lo que dejaría el sitio prácticamente inutilizable. El usuario podía configurar y desconfigurar posteriormente el encabezado de referencia para controlar el estado de denegación de servicio con un token CSRF válido, mientras que no se podían generar nuevos tokens CSRF.
Impacto
Puntuación base 4.0
5.90
Gravedad 4.0
MEDIA
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:octopus:octopus_server:*:*:*:*:*:*:*:* | 2020.1.0 (incluyendo) | 2024.3.13097 (excluyendo) |
cpe:2.3:a:octopus:octopus_server:*:*:*:*:*:*:*:* | 2024.4.401 (incluyendo) | 2024.4.7091 (excluyendo) |
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página