CVE-2023-0040 in Async HTTP Client
Resumen
por MITRE • 2023-01-18
Las versiones de Async HTTP Client anteriores a la 1.13.2 son vulnerables a una forma de manipulación de solicitudes dirigida llamada inyección CRLF. Esta vulnerabilidad fue el resultado de una validación insuficiente de los valores de los campos del encabezado HTTP antes de enviarlos a la red. Los usuarios son vulnerables si pasan datos que no son de confianza a valores de campos de encabezado HTTP sin una desinfección previa. Los casos de uso comunes aquí podrían ser colocar nombres de usuario de una base de datos en campos de encabezado HTTP. Esta vulnerabilidad permite a los atacantes inyectar nuevos campos de encabezado HTTP o solicitudes completamente nuevas en el flujo de datos. Esto puede hacer que el servidor remoto comprenda las solicitudes de forma muy diferente a la prevista. En general, es poco probable que esto dé lugar a la divulgación de datos, pero puede dar lugar a una serie de errores lógicos y otras malas conductas.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.