Skip to main content

Vulnerabilidad crítica en el proxy inverso de Traefik

Tendencia ahora
# Fecha
septiembre 25, 2024
# Categorías
# Siguenos



Clasificación: Crítico, Solución: Corrección oficial, Madurez del exploit: No definido, CVSSv3.1: 9.8, CVE: CVE-2024-45410, Resumen: Traefik es un proxy de aplicación nativo de la nube de golang. Cuando Traefik procesa una solicitud HTTP, Traefik agrega ciertos encabezados HTTP como X-Forwarded-Host o X-Forwarded-Port antes de que la solicitud se envíe a la aplicación. Para un cliente HTTP, no debería ser posible eliminar o modificar estos encabezados. Dado que la aplicación confía en el valor de estos encabezados, podrían surgir implicaciones de seguridad si se pueden modificar. Sin embargo, para HTTP/1.1, se descubrió que algunos de estos encabezados personalizados se pueden eliminar y, en ciertos casos, manipular. El ataque se basa en el comportamiento de HTTP/1.1, que permite definir los encabezados como salto a salto a través del encabezado de conexión HTTP. Este problema se ha solucionado en las versiones de lanzamiento 2.11.9 y 3.1.3. Se recomienda a los usuarios que actualicen la versión. No se conocen soluciones alternativas para esta vulnerabilidad. Consulte también: https://nvd.nist.gov/vuln/detail/CVE-2024-45410



Source link

Comunicaciones