CVE-2021-31402:Dio框架CRLF注入漏洞分析
漏洞概述
漏洞名称:Dio框架HTTP方法字符串CRLF注入漏洞
CVE编号:CVE-2021-31402
严重等级:高危(CVSS评分7.5)
影响版本:Dio < 5.0.0
修复版本:Dio 5.0.0
漏洞详情
影响描述
Dio包4.0.0版本存在CRLF注入漏洞,当攻击者能够控制HTTP方法字符串时,可利用此漏洞实施攻击。该漏洞与CVE-2020-35669不同,属于独立的安全问题。
技术背景
CRLF注入(Carriage Return Line Feed Injection)是一种安全漏洞,攻击者通过向输入中插入回车换行符,能够操纵HTTP协议的正常行为,可能导致HTTP请求走私、缓存投毒等攻击。
漏洞修复
该漏洞已通过提交cfug/dio@927f79e修复,并包含在v5.0.0及之后版本中。
解决方案
官方修复
- 升级到Dio 5.0.0或更高版本
临时解决方案
- 将修复提交cherry-pick到自己的分支中
参考链接
技术指标
CVSS v3.1评分
- 基础分数:7.5(高危)
- 攻击向量:网络(AV:N)
- 攻击复杂度:低(AC:L)
- 所需权限:无(PR:N)
- 用户交互:无(UI:N)
- 影响范围:未改变(S:U)
- 机密性影响:高(C:H)
- 完整性影响:无(I:N)
- 可用性影响:无(A:N)
弱点分类
- CWE ID:CWE-93
- 弱点类型:CRLF序列的不当中和(CRLF注入)
致谢
感谢以下安全研究人员和开发者的贡献:
- licy183(漏洞报告)
- AlexV525(修复开发)
- set0x(漏洞报告)
- thomas-chauchefoin-sonarsource(分析)