PT-2020-14588 · Nim+1 · Nim+1

Tintinweb

·

Publicado

2020-08-14

·

Atualizado

2024-06-15

·

CVE-2020-15693

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Nim versão 1.2.4
Descrição
A biblioteca padrão httpClient no Nim é suscetível a uma injeção de CR-LF na URL de destino. Essa injeção pode ocorrer se um invasor controlar qualquer parte da URL fornecida em uma chamada, como httpClient.get ou httpClient.post, o valor do cabeçalho User-Agent ou nomes ou valores de cabeçalhos HTTP personalizados.
Recomendações
Para a versão 1.2.4 do Nim, considere restringir o uso do módulo httpClient até que um patch esteja disponível e evite usar entradas controladas pelo usuário na URL, no cabeçalho User-Agent ou em cabeçalhos HTTP personalizados para minimizar o risco de exploração.

Exploit

Correção

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74

Identificadores relacionados

ALT-PU-2020-3173
CVE-2020-15693
OPENSUSE-SU-2022:10095-1
OPENSUSE-SU-2022:10101-1
OPENSUSE-SU-2024:12253-1

Produtos afetados

Alt Linux
Nim