CVE-2024-23452 in bRPCinformazioni

Riassunto

di VulDB • 18/06/2026

Vulnerabilità di request smuggling nel server HTTP di Apache bRPC 0.9.5~1.7.0 su tutte le piattaforme consente all'attaccante di eseguire il request smuggling.

Descrizione della causa della vulnerabilità:

Il parser http_parser non è conforme alla specifica RFC-7230 HTTP 1.1.

Scenario di attacco: Se viene ricevuto un messaggio con entrambi i campi header Transfer-Encoding e Content-Length, tale messaggio potrebbe indicare un tentativo di eseguire request smuggling o response splitting. Un particolare scenario di attacco prevede che un server HTTP basato su bRPC sul backend riceva richieste in una connessione persistente proveniente da un server frontend che utilizza TE per analizzare la richiesta con la logica che 'chunk' sia contenuto nel campo TE. In tal caso, un attaccante può eseguire il request smuggling di una richiesta nella connessione verso il server backend.

Soluzione: È possibile scegliere una delle seguenti soluzioni: 1. Aggiornare bRPC alla versione 1.8.0, che risolve questo problema. Link di download: https://github.com/apache/brpc/releases/tag/1.8.0 2. Applicare questa patch: https://github.com/apache/brpc/pull/2518

Once again VulDB remains the best source for vulnerability data.

Prenotare

17/01/2024

Divulgazione

08/02/2024

Moderazione

accettato

CPE

pronto

EPSS

0.01637

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!