Dart HTTP包CRLF注入漏洞分析

本文详细分析了Dart语言http包0.13.3之前版本存在的CRLF注入漏洞(CVE-2020-35669),攻击者可通过控制HTTP方法实现请求头注入,影响系统安全性。

CVE-2020-35669:Dart HTTP包CRLF注入漏洞分析

漏洞概述

漏洞名称:http包0.13.3之前版本存在头部注入漏洞
CVE编号:CVE-2020-35669
漏洞等级:中等严重性
影响版本:< 0.13.3
修复版本:0.13.3

漏洞详情

在Dart语言的http包0.13.3之前版本中发现了一个安全问题。当攻击者能够控制HTTP方法且应用程序直接使用Request时,可能通过HTTP头部注入实现CRLF注入攻击。

技术分析

攻击向量

  • 攻击途径:网络攻击
  • 攻击复杂度:低
  • 所需权限:无
  • 用户交互:需要
  • 影响范围:发生变化

安全影响

  • 机密性:低度影响
  • 完整性:低度影响
  • 可用性:无影响

修复方案

该问题已在commit abb2bb182中得到解决,通过验证请求方法来修复此漏洞。

相关参考

  • NVD漏洞详情:https://nvd.nist.gov/vuln/detail/CVE-2020-35669
  • GitHub问题追踪:dart-lang/http#511, dart-lang/http#512
  • 更新日志:https://pub.dev/packages/http/changelog#0133

弱点分类

CWE-74:输出到下游组件时特殊元素中和不当(注入) 该产品使用来自上游组件的外部影响输入构建命令、数据结构或记录的全部或部分,但在发送到下游组件时未能中和或错误地中和可能修改其解析或解释方式的特殊元素。

评分信息

CVSS评分:6.1/10
EPSS评分:25.314%(96百分位)

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次