CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 1CVE-2023-43669
https://notcve.org/view.php?id=CVE-2023-43669
The Tungstenite crate before 0.20.1 for Rust allows remote attackers to cause a denial of service (minutes of CPU consumption) via an excessive length of an HTTP header in a client handshake. The length affects both how many times a parse is attempted (e.g., thousands of times) and the average amount of data for each parse attempt (e.g., millions of bytes). El Tungstenite crate anterior a la versión 0.20.1 para Rust permite a atacantes remotos provocar una denegación del servicio (de minutos de consumo de la CPU) a través de una longitud excesiva de un encabezado HTTP en el handshake del cliente. La longitud afecta tanto a cuántas veces se intenta un análisis (por ejemplo, miles de veces) y la cantidad promedio de datos para cada intento de análisis (por ejemplo, millones de bytes). • https://bugzilla.redhat.com/show_bug.cgi?id=2240110 https://bugzilla.suse.com/show_bug.cgi?id=1215563 https://crates.io/crates/tungstenite/versions https://cwe.mitre.org/data/definitions/407.html https://github.com/advisories/GHSA-9mcr-873m-xcxp https://github.com/github/advisory-database/pull/2752 https://github.com/snapview/tungstenite-rs/commit/8b3ecd3cc0008145ab4bc8d0657c39d09db8c7e2 https://github.com/snapview/tungstenite-rs/issues/376 https://lists.fedoraproject.org/archives/list/package-an •