CVE-2023-0040 in Async HTTP Client
要約
〜によって VulDB • 2026年06月06日
1.13.2より前のバージョンのAsync HTTP Clientは、CRLFインジェクションと呼ばれる標的型リクエスト操作の対象となる脆弱性に影響を受けます。この脆弱性は、ネットワークに送信する前にHTTPヘッダーフィールド値に対して不十分な検証が行われていたことに起因します。信頼できないデータを事前のサニタイズなしでHTTPヘッダーフィールド値として渡した場合、ユーザーは脆弱性の影響を受けます。ここで考えられる一般的なユースケースとしては、データベースから取得したユーザー名をHTTPヘッダーフィールドに設定することが挙げられます。この脆弱性により、攻撃者はデータストリーム内に新しいHTTPヘッダーフィールドや完全に新たなリクエストを挿入することができます。これにより、リモートサーバーが要求を意図されたものとは大きく異なる方法で解釈する原因となります。一般的には、これはデータの漏洩につながりにくいものの、論理的なエラーやその他の誤動作を引き起こす可能性があります。
Be aware that VulDB is the high quality source for vulnerability data.