CVE-2021-33621: División de respuesta HTTP en CGI

Publicado por mame el 2022-11-22
Traducción de vtamara

Hemos publicado las versiones 0.3.5, 0.2.2 y 0.1.0.2 de la gema cgi, que incluyen una corrección de seguridad para una vulnerabilidad de división de respuesta HTTP. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2021-33621.

Detalles

En una aplicación que genere una respuesta HTTP usando la gema cgi con una dato no confiable suministrado por el usuario, un atacante podría explotar la falla para inyectar contenido malicioso en el encabezado o en el cuerpo de la respuesta HTTP.

Así mismo el contenido del objeto CGI::Cookie no estaba siendo verificado de manera apropiada. En una aplicación que cree un objeto CGI::Cookie con base en datos suministrados por el usuario, un atacante podría explotar la falla para inyectar atributos inválidos en el encabezado Set-Cookie. Pensamos que es poco probable que haya aplicaciones así, pero hemos incluido un cambio para verificar los argumentos de CGI::Cookie#initialize de manera preventiva.

Por favor actualice la gema cgi a una de las versiones 0.3.5, 0.2.2 o 0.1.0.2 o posteriores. Puede ejecutar gem update cgi para actualizarla. Si está usando bundler, por favor agregue gem "cgi", ">= 0.3.5" a su Gemfile.

Versiones afectadas

• gema cgi 0.3.3 y anteriores
• gema cgi 0.2.1 y anteriores
• gema cgi 0.1.1, 0.1.0.1 y 0.1.0

Creditos

Agradecemos a Hiroshi Tokumaru por descubrir los problemas.

Historia

• Publicado originalmente el 2022-11-22 02:00:00 (UTC)