漏洞详情
包名: http (Pub)
受影响版本: < 0.13.3
已修复版本: 0.13.3
描述:
在Dart的http包0.13.3之前的版本中发现了一个问题。如果攻击者能够控制HTTP方法,并且应用程序直接使用Request对象,则有可能通过HTTP头注入实现HTTP请求中的CRLF注入。此问题已在提交abb2bb182中通过验证请求方法得到解决。
参考链接:
- https://nvd.nist.gov/vuln/detail/CVE-2020-35669
- dart-lang/http#511
- https://github.com/dart-lang/http/blob/master/CHANGELOG.md#0133
- dart-lang/http#512
- dart-lang/http@abb2bb1
- https://pub.dev/packages/http/changelog#0133
安全评估
严重程度: 中等
CVSS总体评分: 6.1 / 10
CVSS v3 基础指标: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 影响范围: 改变
- 机密性影响: 低
- 完整性影响: 低
- 可用性影响: 无
EPSS评分: 25.314% (第96百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点:
- CWE-74: 对输出给下游组件使用的特殊元素进行不恰当的中和(注入)
- 该产品使用来自上游组件的外部影响输入来构建全部或部分命令、数据结构或记录,但当它被发送到下游组件时,没有中和或错误地中和了可能修改其解析或解释方式的特殊元素。
标识符:
- CVE ID: CVE-2020-35669
- GHSA ID: GHSA-4rgh-jx4f-qfcq
源代码: dart-lang/http
时间线:
- 由国家漏洞数据库发布: 2020年12月24日
- 发布至GitHub咨询数据库: 2022年5月24日
- 已审核: 2022年8月4日
- 最后更新: 2023年1月27日