CVE-2021-31402：Dio易受HTTP方法字符串CRLF注入攻击

攻击向量: 网络
攻击复杂度: 低
所需权限: 无
用户交互: 无
作用范围: 未改变
机密性影响: 高
完整性影响: 无
可用性影响: 无

漏洞详情

包名: dio (Pub) 受影响版本: < 5.0.0 修复版本: 5.0.0 严重程度: 高危 (CVSS评分7.5)

Dio包4.0.0版本（用于Dart）存在CRLF注入漏洞，当攻击者能够控制HTTP方法字符串时，可利用此漏洞进行攻击。此漏洞与CVE-2020-35669不同。

该漏洞已通过cfug/dio@927f79e提交修复，并包含在v5.0.0及以后版本中。

将修复提交cherry-pick到您自己的fork分支也可以解决此漏洞。

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-93: CRLF序列的不恰当中和（CRLF注入）产品使用CRLF（回车换行）作为特殊元素，例如用于分隔行或记录，但没有对输入中的CRLF序列进行中和或错误地进行了中和。