PT-2020-17383 · Dart · Http Package
N0Npax
·
Publicado
2020-12-24
·
Atualizado
2023-03-22
·
CVE-2020-35669
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 0.12.2 e anteriores do pacote http
Versões anteriores à 0.13.3 do pacote http
Descrição
Foi detectada uma falha no pacote http para Dart. Se o invasor controlar o método HTTP e o aplicativo estiver utilizando o Request diretamente, é possível realizar uma injeção de CRLF em uma solicitação HTTP por meio de injeção de cabeçalho HTTP.
Recomendações
Para as versões 0.12.2 e anteriores, atualize para a versão 0.13.3 ou posterior para corrigir o problema.
Para versões anteriores à 0.13.3, atualize para a versão 0.13.3 ou posterior para corrigir o problema.
Como solução temporária, considere validar os métodos de solicitação para impedir a injeção de CRLF em solicitações HTTP.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Http Package