Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-28473

Vulnerabilidad en encubrimiento de parámetros en los parámetros de consulta en el paquete bottle (CVE-2020-28473)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Media
Fecha publicación : 
18/01/2021
Última modificación: 
28/01/2021
Descripción
El paquete bottle desde versiones 0 y anteriores a 0.12.19, es vulnerable al Envenenamiento de Caché Web al usar un vector llamado encubrimiento de parámetros. Cuando el atacante puede separar los parámetros de consulta usando un punto y coma (;), pueden causar una diferencia en la interpretación de la petición entre el proxy (que se ejecuta con la configuración predeterminada) y el servidor. Esto puede resultar en que las peticiones maliciosas se almacenen en caché como completamente seguras, ya que el proxy normalmente no vería el punto y coma como un separador y, por lo tanto, no lo incluiría en una clave de caché de un parámetro sin clave
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:bottlepy:bottle:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos