CVE-2020-35669：Dart HTTP包头部注入漏洞分析

攻击向量: 网络
攻击复杂度: 低
所需权限: 无
用户交互: 需要
作用范围: 已改变
机密性影响: 低
完整性影响: 低
可用性影响: 无

漏洞详情

包名称: http (Pub)
受影响版本: < 0.13.3
已修复版本: 0.13.3

在Dart的http包0.13.3之前版本中发现了一个安全问题。如果攻击者能够控制HTTP方法，并且应用程序直接使用Request对象，则可能通过HTTP头部注入实现HTTP请求中的CRLF注入攻击。

此问题已在提交abb2bb182中通过验证请求方法得到解决。

严重程度: 中等
CVSS总体评分: 6.1/10

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

弱点: CWE-74
描述: 输出中特殊元素的不当中和（注入）
产品使用来自上游组件的外部影响输入构建全部或部分命令、数据结构或记录，但在发送到下游组件时，未能中和或错误地中和可能修改其解析或解释方式的特殊元素。

dart-lang/http