Plataforma
rust
Componente
cookie
Corregido en
0.7.6
0.6.2
0.6.2
La vulnerabilidad CVE-2017-18589 afecta a la crate 'time' para el lenguaje de programación Rust. Esta crate es una dependencia común en muchos proyectos Rust y se utiliza para el manejo de tiempo y duración. El error radica en la forma en que se procesa el valor Max-Age en las cookies, pudiendo provocar un pánico y, consecuentemente, una denegación de servicio. La vulnerabilidad fue corregida en la versión 0.6.2.
Un atacante podría explotar esta vulnerabilidad enviando una cookie Max-Age con un valor que esté entre 2^64/1000 y 2^64. Este valor, al ser procesado por la función Duration::seconds, causaría un desbordamiento de enteros y un pánico en la aplicación Rust. Esto resultaría en una denegación de servicio, impidiendo que la aplicación procese solicitudes adicionales. El impacto es particularmente grave en servidores web o aplicaciones que manejan un gran volumen de cookies, ya que un atacante podría sobrecargar el sistema con solicitudes maliciosas. La severidad de la vulnerabilidad se agrava por la amplia adopción de la crate 'time' en el ecosistema Rust.
La vulnerabilidad CVE-2017-18589 fue publicada el 6 de mayo de 2017. No se ha reportado su explotación activa en campañas conocidas. La probabilidad de explotación se considera baja debido a la necesidad de un conocimiento técnico específico y la relativa dificultad para enviar cookies maliciosas a gran escala. No se encuentra en KEV ni tiene una puntuación EPSS asignada. Consulte la entrada de NVD para obtener más detalles.
Estado del Exploit
EPSS
0.33% (56% percentil)
Vector CVSS
La mitigación principal para CVE-2017-18589 es actualizar la crate 'time' a la versión 0.6.2 o superior. Si la actualización no es inmediatamente posible, se puede implementar una validación de entrada para el valor Max-Age antes de pasarlo a la función Duration::seconds. Esta validación debe asegurar que el valor esté dentro de un rango seguro, evitando el desbordamiento de enteros. Se recomienda implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes con valores Max-Age sospechosos. Verifique después de la actualización que la aplicación maneje correctamente las cookies con valores Max-Age válidos.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2017-18589 is a denial-of-service vulnerability in the Rust 'cookie' crate where parsing large 'Max-Age' cookie values can cause a panic, leading to service disruption. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using the 'cookie' crate in Rust and have a version prior to 0.6.2. Check your project's dependencies to determine if an upgrade is needed.
Upgrade the 'cookie' crate to version 0.6.2 or later. Alternatively, implement input validation to restrict the maximum Max-Age cookie value.
There is no public evidence of CVE-2017-18589 being actively exploited in the wild, but the vulnerability remains a potential risk.
Refer to the Rust 'cookie' crate's repository and related discussions for information about this vulnerability: https://github.com/rust-lang/cookie
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Cargo.lock y te decimos al instante si estás afectado.