CVE-2023-41834

MITJÀ: (5,4)

CVSS3: 4,7

Apache Flink Stateful Functions és vulnerable a injeccions de capçaleres HTTP. Aquestes serien causades per una neutralització incorrecta de seqüències CRLF en les capçaleres HTTP. En persuadir a una víctima perquè visiti una pàgina web especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per injectar capçaleres HTTP arbitràries, la qual cosa li permetria dur a terme diversos atacs contra el sistema vulnerable, incloent-hi seqüències d’ordres en llocs creuats, enverinament de la memòria CAU o segrest de sessió.

Sistemes Afectats

• Apache Flink Stateful Functions 3.1.0
• Apache Flink Stateful Functions 3.2.0

Remediació
Actualitzeu a l’última versió de Flink Stateful Functions (3.3.0 o posterior), disponible al lloc web d’Apache. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://seclists.org/oss-sec/2023/q3/195
• https://nightlies.apache.org/flink/flink-statefun-docs-master/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41834