CVE-2023-44386：Vapor框架错误处理漏洞导致服务器崩溃

漏洞详情

包名: swift
仓库: github.com/vapor/vapor (Swift)

受影响版本: >= 4.83.2, < 4.84.2
已修复版本: 4.84.2

漏洞描述

Vapor在解析HTTP 1.x请求时错误处理不当，由于API误用触发了swift-nio中的前置条件失败，导致服务器进程立即终止。

影响分析

这是一个拒绝服务漏洞，影响所有使用受影响版本Vapor的用户。由于崩溃是显式断言失败，不会导致进程状态损坏，也没有数据泄露或未经授权代码执行的风险。总体影响仅限于可立即恢复的服务中断。

修复方案

该问题已在Vapor 4.84.2版本中修复。

临时解决方案

目前没有已知的临时解决方案。

更多信息

如有关于此公告的任何问题或评论：

• 在Vapor Discord中提问

致谢

完整报告此问题的功劳归于@t0rchwo0d，感谢其负责任地披露。

参考链接

• GHSA-3mwq-h3g6-ffhm
• https://nvd.nist.gov/vuln/detail/CVE-2023-44386
• vapor/vapor@090464a
• https://github.com/vapor/vapor/releases/tag/4.84.2

安全评分

严重程度: 中等
CVSS总体评分: 5.3/10

CVSS v3基础指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性: 无影响
• 完整性: 无影响
• 可用性: 低影响

弱点分类

弱点: CWE-231 - 不当处理额外值

产品在处理提供值多于预期值时未处理或处理不当。