漏洞详情

包名称: composer - spiral/roadrunner (Composer)

受影响版本: < 2025.1.0

已修复版本: 2025.1.0

漏洞描述

RoadRunner使用的net/http包依赖项不当接受裸LF作为分块数据块大小行中的行终止符。如果net/http服务器与错误接受裸LF作为块扩展部分的服务器结合使用，这可能允许请求走私。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-22871

• https://go.dev/cl/652998

• https://groups.google.com/g/golang-announce/c/Y2uBTVKjBQk

• https://pkg.go.dev/vuln/GO-2025-3563

• http://www.openwall.com/lists/oss-security/2025/04/04/4

• roadrunner-server/roadrunner#2166

• roadrunner-server/roadrunner@f269279

• https://github.com/roadrunner-server/roadrunner/releases/tag/v2025.1.0

严重程度

严重等级: 严重

CVSS总体评分: 9.1/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性: 高
• 完整性: 高
• 可用性: 无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

EPSS评分

0.023% (第5百分位)

弱点

弱点CWE-444: HTTP请求的不一致解释（‘HTTP请求/响应走私’） 产品在数据流中作为中间HTTP代理（如代理或防火墙），但它对畸形HTTP请求或响应的解释方式与最终目的地实体处理消息的方式不一致。

弱点CWE-1395: 对易受攻击的第三方组件的依赖 产品依赖于包含一个或多个已知漏洞的第三方组件。

标识符

• CVE ID: CVE-2025-22871
• GHSA ID: GHSA-g9pc-8g42-g6vq

源代码

roadrunner-server/roadrunner

致谢

dt-thomas-durand - 分析师