漏洞详情

重复公告 此公告已被撤回，因为它是GHSA-9324-jv53-9cc8的重复公告。保留此链接是为了维护外部引用。

原始描述 Dart的dio包在5.0.0之前的版本中，如果攻击者控制了HTTP方法字符串，则允许CRLF注入。此漏洞与CVE-2020-35669不同。

技术信息

包管理平台: Pub 受影响版本: < 5.0.0 已修复版本: 5.0.0

漏洞严重性

严重等级: 高危 CVSS总体评分: 7.5/10

CVSS v3基础指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 影响范围: 未改变
• 机密性影响: 高
• 完整性影响: 无
• 可用性影响: 无

CVSS向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

相关弱点

1. CWE-74: 对下游组件使用的输出中的特殊元素进行不恰当的中和（‘注入’）
2. CWE-88: 对命令中的参数分隔符进行不恰当的中和（‘参数注入’）
3. CWE-93: 对CRLF序列进行不恰当的中和（‘CRLF注入’）

参考资料

• 国家漏洞数据库: CVE-2021-31402

• 修复提交: cfug/dio@927f79e

• 开源漏洞数据库: https://osv.dev/GHSA-jwpw-q68h-r678

时间线

• 国家漏洞数据库发布: 2021年4月15日
• GitHub公告数据库发布: 2022年5月24日
• GitHub审核: 2022年9月15日
• 最后更新: 2023年10月5日
• 公告撤回: 2023年10月5日

备注

此漏洞已通过升级到Dio 5.0.0或更高版本得到修复。开发人员应及时更新依赖项以确保应用程序安全。