CVE-2021-41259 in Nim
要約
〜によって VulDB • 2026年06月27日
Nimは、効率性、表現力、およびエレガンスを重視したシステムプログラミング言語です。影響を受けるバージョンでは、URIを検証するために使用される可能性がある `uri.parseUri` 関数が、入力URI内のヌルバイトを受け入れます。この動作を利用して、URI検証を回避できます。例えば:`parseUri("http://localhost\0hello").hostname` は `"localhost\0hello"` に設定されます。さらに、`httpclient.getContent` も入力URL内のヌルバイトを受け入れ、最初のヌルバイト以降のデータを無視します。例:`getContent("http://localhost\0hello")` は localhost:80 に対してリクエストを行います。攻撃者はヌルバイトを使用してチェックを回避し、SSRF(サーバーサイドリクエストフォージェリ)攻撃を実行できます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.