CVE-2023-0040 in Async HTTP Clientinformación

Resumen

por MITRE • 2023-01-18

Las versiones de Async HTTP Client anteriores a la 1.13.2 son vulnerables a una forma de manipulación de solicitudes dirigida llamada inyección CRLF. Esta vulnerabilidad fue el resultado de una validación insuficiente de los valores de los campos del encabezado HTTP antes de enviarlos a la red. Los usuarios son vulnerables si pasan datos que no son de confianza a valores de campos de encabezado HTTP sin una desinfección previa. Los casos de uso comunes aquí podrían ser colocar nombres de usuario de una base de datos en campos de encabezado HTTP. Esta vulnerabilidad permite a los atacantes inyectar nuevos campos de encabezado HTTP o solicitudes completamente nuevas en el flujo de datos. Esto puede hacer que el servidor remoto comprenda las solicitudes de forma muy diferente a la prevista. En general, es poco probable que esto dé lugar a la divulgación de datos, pero puede dar lugar a una serie de errores lógicos y otras malas conductas.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Reservar

2023-01-03

Divulgación

2023-01-18

Moderación

aceptado

Artículo

VDB-218970

CPE

listo

EPSS

0.00549

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!