Hongpei Li

**Nome do software vulnerável e versões afetadas** Versões do Apache bRPC de 0.9.5 a 1.7.0 **Descrição** O problema decorre do fato de o `http parser` não estar em conformidade com a especificação RFC-7230 do HTTP 1.1, especificamente ao processar mensagens que contêm os campos de cabeçalho `Transfer-Encoding` e `Content-Length`. Isso pode levar a ataques de contrabando de solicitações ou divisão de respostas. Em um cenário em que um servidor HTTP baseado em bRPC no back-end recebe solicitações em uma conexão persistente de um servidor front-end que usa `Transfer-Encoding` para analisar solicitações, um invasor pode contrabandear uma solicitação para a conexão com o servidor back-end. **Recomendações** Para as versões 0.9.5 a 1.7.0 do Apache bRPC, atualize para a versão 1.8.0, que corrige esse problema. Como solução temporária, considere aplicar o patch disponível em https://github.com/apache/brpc/pull/2518 para mitigar o risco de exploração.