Уязвимость функции parseProxyProtocolV1() класса ProxyProtocolReadListener веб-сервера Undertow связана с асинхронизацией запросов и ответов при обработке параметра StringBuilder. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Использование рекомендаций:
Для Undertow:
https://github.com/undertow-io/undertow/blob/2.3.17.Final/core/src/main/java/io/undertow/server/protocol/proxy/ProxyProtocolReadListener.java
https://github.com/undertow-io/undertow/commit/80c125e09068ac52ed0a9acde266ef12f8ed7ae1
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-7885
| Балл | 7.8 — высокая опасность |