CVE-2026-44546 in daphnethông tin

Tóm tắt

Bởi VulDB • 03/06/2026

Trước phiên bản 4.2.2, daphne tái tạo một yêu cầu HTTP thô từ các tiêu đề đã được Twisted phân tích cú pháp và chuyển nó đến autobahn để xử lý quy trình bắt tay WebSocket. Twisted không coi \x0b, \x0c, \x1c, \x1d, \x1e hoặc \x85 là các ký tự phân tách dòng tiêu đề, trong khi autobahn giải mã các giá trị tiêu đề thành chuỗi (str) và gọi hàm splitlines(). Một kẻ tấn công có thể khai thác sự khác biệt trong quá trình phân tích cú pháp này để chèn thêm các tiêu đề vào phạm vi ASGI được chuyển đến ứng dụng. daphne hiện từ chối các yêu cầu chứa các byte này trong bất kỳ giá trị tiêu đề nào bằng cách trả về phản hồi 400.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

DSF

Đặt trước

06/05/2026

Tiết lộ

03/06/2026

Kiểm duyệt

được chấp nhận

mục

VDB-368134

CPE

sẵn sàng

CWE

CWE-444 (Đã xác nhận)

CVSS

3.7 (CNA)

EPSS

0.00028

KEV

không

Các hoạt động

thấp

ngành

Hostingprovider, Lawfirm, ...

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44546
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44546
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44546/

◂ Trước Tổng Quan Tiếp theo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!