Dio易受HTTP方法字符串CRLF注入攻击

漏洞详情

包名: dio (Pub) 受影响版本: < 5.0.0 已修复版本: 5.0.0

影响描述

Dio包4.0.0版本（用于Dart语言）存在CRLF注入漏洞，当攻击者能够控制HTTP方法字符串时，可利用此漏洞实施攻击。此漏洞与CVE-2020-35669不同。

技术细节

漏洞类型: CRLF注入（CWE-93） 严重程度: 高危（CVSS评分7.5） 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 无 影响范围: 未改变 机密性影响: 高 完整性影响: 无 可用性影响: 无

修复方案

该漏洞已通过提交cfug/dio@927f79e修复，并包含在v5.0.0及以后版本中。

临时解决方案

可以通过cherry-pick该提交到您自己的分支来修复此漏洞。

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2021-31402
https://osv.dev/GHSA-jwpw-q68h-r678
cfug/dio#1130
cfug/dio#1752
GHSA-9324-jv53-9cc8
https://security.snyk.io/vuln/SNYK-PUB-DIO-5891148

漏洞报告信息

报告者: licy183, set0x 修复开发者: AlexV525 分析师: thomas-chauchefoin-sonarsource

发布日期: 2023年3月21日 最后更新: 2023年10月5日

Dio HTTP方法字符串存在CRLF注入漏洞分析

本文详细分析了Dart语言HTTP客户端库Dio存在的CRLF注入漏洞(CVE-2021-31402)，该漏洞允许攻击者通过控制HTTP方法字符串实施攻击，影响版本为4.0.0，已在5.0.0版本修复。