CVE-2023-0040 in Async HTTP Client
요약
\~에 의해 VulDB • 2026. 06. 06.
1.13.2 이전 버전의 Async HTTP Client는 CRLF 인젝션이라고 하는 표적화된 요청 조작 형태의 취약점에 노출됩니다. 이 취약점은 네트워크로 전송하기 전에 HTTP 헤더 필드 값에 대한 검증이 불충분했기 때문에 발생했습니다. 사용자가 사전 sanitization(정제) 없이 신뢰할 수 없는 데이터를 HTTP 헤더 필드 값으로 전달하는 경우 취약합니다. 여기서 일반적인 사용 사례로는 데이터베이스에서 가져온 사용자 이름을 HTTP 헤더 필드에 삽입하는 경우가 있습니다. 이 취약점을 통해 공격자는 데이터 스트림에 새로운 HTTP 헤더 필드를 완전히 새 요청까지 주입할 수 있습니다. 이로 인해 원격 서버가 의도한 것과 매우 다르게 요청을 해석하게 될 수 있습니다. 일반적으로 이는 데이터 유출로 이어지기 어렵지만, 여러 논리적 오류 및 기타 비정상적인 동작을 초래할 수 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.