Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-28476

Vulnerabilidad en encubrimiento de parámetros en los parámetros de consulta en el paquete tornado (CVE-2020-28476)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Sin asignar
Fecha publicación : 
18/01/2021
Última modificación: 
15/02/2021
Descripción
Todas las versiones del paquete tornado, son vulnerables al Envenenamiento de Caché Web al usar un vector llamado encubrimiento de parámetros. Cuando el atacante puede separar los parámetros de consulta usando un punto y coma (;), pueden causar una diferencia en la interpretación de la petición entre el proxy (que se ejecuta con la configuración predeterminada) y el servidor. Esto puede resultar en que unas peticiones maliciosas se almacenen en caché como completamente seguras, ya que el proxy normalmente no vería el punto y coma como un separador y, por lo tanto, no lo incluiría en una clave de caché de un parámetro sin clave
Impacto
Vector de acceso: No disponible
Complejidad de Acceso: No disponible
Autenticación: No disponible
Tipo de impacto: No disponible
Explicación de los campos