CVE-2023-44386:Vapor框架错误请求处理不当引发服务器崩溃
漏洞详情
包: swift - github.com/vapor/vapor (Swift)
受影响版本: >= 4.83.2, < 4.84.2
已修补版本: 4.84.2
技术描述
Vapor框架在解析HTTP 1.x请求时错误处理不当,由于API误用触发了swift-nio中的前提条件失败,导致服务器进程立即终止。
影响分析
这是一个拒绝服务漏洞,影响所有受影响版本的Vapor用户。由于崩溃是显式的断言失败,不会导致进程状态损坏,也没有数据泄露或未经授权代码执行的风险。总体影响仅限于可立即恢复的服务中断。
修复方案
该问题已在Vapor 4.84.2版本中修复。
临时解决方案
目前暂无已知的变通方法。
补充信息
如需了解更多信息:
- 在Vapor仓库中提交问题
- 在Vapor Discord中咨询
致谢
感谢@t0rchwo0d完整报告此问题,并感谢其负责任地披露。
参考链接
- GHSA-3mwq-h3g6-ffhm
- https://nvd.nist.gov/vuln/detail/CVE-2023-44386
- vapor/vapor@090464a
- https://github.com/vapor/vapor/releases/tag/4.84.2
安全评分
严重程度: 中等
CVSS总体评分: 5.3/10
CVSS v3基本指标:
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未改变
- 机密性:无影响
- 完整性:无影响
- 可用性:低
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
EPSS评分: 0.052% (第16百分位)
安全弱点
CWE-231: 不当处理额外值 - 当提供的值多于预期时,产品未能正确处理或处理不当。
标识符
- CVE ID: CVE-2023-44386
- GHSA ID: GHSA-3mwq-h3g6-ffhm
源代码: vapor/vapor
贡献者
- gwynne: 修复开发者
- 0xTim: 修复审查者
- t0rchwo0d: 报告者