http包0.13.3之前版本存在头注入漏洞 · CVE-2020-35669

攻击向量: 网络
攻击复杂度: 低
所需权限: 无
用户交互: 需要
范围: 已改变
机密性: 低
完整性: 低
可用性: 无

漏洞详情

包名称: http (Pub)
受影响版本: < 0.13.3
修复版本: 0.13.3

在Dart的http包0.13.3之前版本中发现了一个安全问题。如果攻击者能够控制HTTP方法，并且应用程序直接使用Request，则可能通过HTTP头注入实现HTTP请求中的CRLF注入。

该问题已在commit abb2bb182中通过验证请求方法得到解决。

严重程度: 中等
CVSS总体评分: 6.1/10

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

弱点: CWE-74
描述: 对下游组件使用的输出中的特殊元素进行不当中和（注入）