Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Octopus Server (CVE-2025-0588)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-113 Neutralización incorrecta de secuencias CRLF en cabeceras HTTP (División de respuesta HTTP)
Fecha de publicación:
11/02/2025
Última modificación:
02/07/2025

Descripción

En las versiones afectadas de Octopus Server, un usuario con acceso suficiente podía configurar encabezados personalizados en todas las respuestas del servidor. Al enviar un encabezado de referencia especialmente diseñado, el usuario podía asegurarse de que todas las respuestas posteriores del servidor devolvieran errores 500, lo que dejaría el sitio prácticamente inutilizable. El usuario podía configurar y desconfigurar posteriormente el encabezado de referencia para controlar el estado de denegación de servicio con un token CSRF válido, mientras que no se podían generar nuevos tokens CSRF.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:octopus:octopus_server:*:*:*:*:*:*:*:* 2020.1.0 (incluyendo) 2024.3.13097 (excluyendo)
cpe:2.3:a:octopus:octopus_server:*:*:*:*:*:*:*:* 2024.4.401 (incluyendo) 2024.4.7091 (excluyendo)
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*