CVE-2021-33621

ALT: (8.8)

CVSS3: 7.7

RubyGems cgi gem és vulnerable als atacs de divisió de resposta HTTP. Un atacant remot autenticat podria explotar aquesta vulnerabilitat per a injectar una capçalera de resposta HTTP/1.1 arbitrària d’alguna forma i fer que el servidor retorni una resposta dividida, una vegada que es faci clic en l’URL. Això permetria a l’atacant realitzar altres atacs, com l’enverinament de la memòria cache web o el cross-site scripting, i possiblement obtenir informació sensible.

Sistemes Afectats

• RubyGems cgi gem 0.1.0
• RubyGems cgi gem 0.1.0.1
• RubyGems cgi gem 0.1.1
• RubyGems cgi gem 0.2.1
• RubyGems cgi gem 0.3.3

Remediació
Actualitza a l’última versió del cgi gem (0.1.0.2, 0.2.2, 0.3.5 o posterior), disponible en el lloc web de RubyGems.

Referències

• https://www.ruby-lang.org/en/news/2022/11/22/http-response-splitting-in-cgi-cve-2021-33621/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33621